ISMS認証取得に関するよくあるご質問をQ&Aとしてまとめました。

Q. 企業がISMS認証を取得する目的は何ですか?

ISMS認証を取得する目的で、一番多い理由は、外部要求(顧客要求、入札条件)によるものです。他には、「同業他社に差別化されないようにするため」や、リスクマネジメントの一環として取り組むケースもあります。

Q. プライバシーマークでなくISMSを選ぶ場合の理由は何ですか?

すでにISO9001やISO14001などのISO認証を取得している場合は、仕組みのベースが同じなので、比較的システム構築が容易です。さらに、審査を統合できるので、審査受審の手間を軽減できます。

また、ISMS認証は登録範囲が限定できるという特徴があります。登録範囲を限定したい場合はISMS認証が選ばれます。将来的にクラウドセキュリティ認証やISMS-PIMS認証を取得したい場合も、ISMS認証を選ばれます。

Q. ISO27001は、何をしたら認証取得できますか?

構築されたISMSが、規格要求事項に適合していることを審査で認められると認証されます。

Q. ISMS認証(ISO27001)を取得するまでの流れを教えてください。

ISMS認証取得までの工程は次の通りです。

  1. 1. 課題の特定、利害関係者からの期待(要求)の特定
  2. 2. 適用範囲の決定
  3. 3. 方針の策定
  4. 4. 体制の決定
  5. 5. 規程や手順、記録様式類の作成開始
  6. 6. リスク分析(資産の特定を含む)
  7. 7. リスク対応
  8. 8. 目標設定
  9. 9. ISMS運用コンセンサス形成(組織内でISMS運用についての合意を形成すること)
  10. 10. ISMS運用開始
  11. 11. 内部監査
  12. 12. マネジメントレビュー
  13. 13. 第1段階審査
  14. 14. 第2段階審査
  15. 15. 判定
  16. 16. 登録証発行
Q. ISMSの運用とは何ですか?

ISMSを構成するルールや手順などを実際に実施することです。

Q. ISO27001で要求されることは何ですか?

ISO27001の規格で要求していることは、おおまかに述べると「ISMSを構築すること」「ISMSを運用すること」「ISMSを改善すること」です。要求事項とは、例えば「方針を立てなさい」「内部監査を行いなさい」などです。

Q. プロジェクトメンバーには、どのような人材が適任ですか?

組織の状況にもよりますが、プロジェクトリーダーには、金銭や業務効率、営業などとのバランスを取って判断ができる方で、良い意味でも妥協ができる方が適任です。

Q. ISO27001の認証取得には、どれぐらいの期間が必要ですか?

「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」等の要素によって変動しますが、一般的には、10ヶ月~12ヶ月を目安にお考えください。

Q. ISO27001/ISMSの取得までにどれぐらいの費用がかかりますか?

ISO27001/ISMSを取得するための費用には、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類がかかります。それぞれ、内容によって異なりますので、ご相談ください。

Q. ISO27001で要求されるリスクアセスメントは、そもそも何ですか?

ISO27001では、おおまかに以下の内容を要求しています。

  • リスク受容基準、アセスメント基準を決定すること
  • リスクを特定すること
  • リスクを分析すること
  • リスクを評価すること

以上であり、具体的な基準の決め方等は明記されておりません。したがいまして、組織の決定如何で、リスクアセスメントの負荷が大きく変わってきます。

Q. ISMSのリスク分析はどのようなことをしたら良いのでしょうか?

リスクが顕在化したときの影響や、リスクの現実的な起こりやすさを検討すること、またリスクのレベルを決めることです。

Q. リスクアセスメントの基準とは何ですか?

リスクを分析・評価するための基準です。具体的には、リスクを受容してもよいかどうかの基準や、リスクそのものの大きさをはかるための基準を指します。

規格の要求は基準を決めることだけであり、具体的に「この程度のリスクであれば受容してもよい」という言及はないので、自身で考えて決めることになります。したがって、各社各様にリスクの受容水準は異なります。

Q. ISO27001を認証取得するためのリスクアセスメントのやり方(スキーム)は決まっていますか?

ISO27001では、情報リスクアセスメントの最低限の要求は決まっていますが、厳密に決まっているわけではありません。ISO27001では、スキームを工夫することができます。リスクアセスメントのスキームについては、コンサルタントの力量によって左右されます。

尚、ISO27001の認証取得後、リスクアセスメントのスキームを変えたいというご要望も多く、最近では数多くご相談を承っております。

Q. 認証取得するために文書をどのくらい作成すればよいですか?

組織によって千差万別です。

規格は、何でもかんでも文書化しろとは要求していません。規格では、最低限要求されている文書以外は「自組織が必要と判断すれば作成してください」というスタンスです。

例えば、新たに社員が入ってきたときに規程があったほうが教育し易いと判断した組織は文書化を推し進めるかもしれません。

また、文書体系、構成の設計次第で、ボリュームも変わってくるうえに、既存内部規程にも左右されます。過去事例では、「規程数十ページ+記録様式」程度のケースもあれば、規程が数百ページに及んだケースもあります。

数百ページに及んだケースは、組織規模が大きく、既存文書体系・文書内容を変更できないという事情があったため、整合性を取るためにボリュームが膨らみました。このケースも、既存文書体系や内容を変更してもよいのであれば、大幅に圧縮することが可能でした。

Q. ISO27001を認証取得するうえで、管理対象となる情報とは何ですか?

原則、自組織で特定していただくことになりますが、明らかに重要な情報(例えば漏洩や改ざんされたりした場合に社会的影響が大きい情報)であるにも関わらず特定されていない場合は、審査時に指摘されることがあります。

管理すべきかどうかは、情報セキュリティを構成する特性の中で、最低限「①機密性」「②完全性」「③可用性」のいずれかを保護する必要性があるかどうかで判断してください。

例えば、個人情報は上記に該当する可能性が高いのではないでしょうか。また、帝国データバンクを例に挙げれば、企業信用情報は、上記 ① ② ③ 全てを保護する必要性があると考えられます。

Q.設定した目標を達成できなかった場合、審査をパスできませんか?

目標の達成可否は直接的には合否判定に影響しません。

目標についての主な要求は、以下のような内容です。

  • 設定されているか
  • 設定内容が妥当かどうか(課題、利害関係者のニーズ、リスク等をふまえているか)
  • 達成計画の進捗が管理されているか
  • 結果が分析、評価されているか

とは言え、目標が達成されたほうがよいことは言うまでもありません。目標達成の如何は、審査の合否ではなく、実態上重要なテーマです。

Q. ISMS認証取得のために、どの程度のセキュリティレベルが要求されますか?

ISO27001の審査には、セキュリティレベルについて絶対的な基準がありません。簡単に申し上げると、リスク評価の結果に応じたリスク対応がなされていることが求められます。

Q. ISO27001の認証取得するために、レイアウト変更や設備に投資する必要はありますか?

審査の合否に対しては、余程極端でない限りさほど影響はありません。

合否に関して重要なことを以下にまとめました。

  • 現在の環境下でのリスクを特定すること
  • 特定されたリスクを評価すること
  • 評価結果に応じてリスク対応を決定すること
Q. ISO27001を取得するために、従業員にはどのような教育をすればいいのでしょうか?

対象によって内容を変えた方が効率的です。事務局メンバーや管理職といったISMSを主導するコアメンバーと一般従業者で分けてみてはいかがでしょうか?

一般従業者は、まず、できるだけシンプルに要点を絞った教育をしてみてはいかがでしょうか?

Q. ISO27001ではコンプライアンスが問われますか?

著作権法や個人情報保護法、不正競争防止法などで、コンプライアンスが問われることが多いです。

ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。

受付時間:平日 9:00~18:00