ISMSとISO27001は何が違うのですか?
Q. ISMSとISO27001は何が違うのですか?
ISO27001は規格要求、ISMSは「仕組み」です。どのようにISMSを構築して運用するのかを、規格として定めたものがISO27001なので、そもそも比較すべきものではありません。
ちなみに、ISO27001が発行される前、日本では「ISMS適合性評価制度」という名称の制度が運用されていました。その名残がISMS=ISO27001という認識であろうかと思われます。
ISO27001とは「規格要求」、ISMSとは「マネジメントシステムそのもの」のことです。したがいまして、比較するものではありません。認証の名称としてはISO27001が正しく、ISMSと通称されているとお考えください。
どのようにISMSを構築して運用するのかを、規格として定めたものがISO27001です。
余談ではありますが、ISO27001が発行されるより以前に、日本では「ISMS適合性評価制度」という名称で同様の趣旨の認証制度が運用されていました。前述のように認証がISMSと通称されているのは、その名残だと思われます。
ISMSとは
ISMSとは、information security management systemの略称で、情報セキュリティマネジメントシステムのことです。
情報セキュリティというと、機密性の保護だけに目が行きがちですが、ISO27001で言う情報セキュリティとは、少なくとも情報の「機密性」「完全性」「可用性」を保護することを意味しています。
また、「システム」は仕組みのことですが、マネジメントシステムとただのシステムの違いは、継続的に改善を促す機能の有無にあるとお考えください。
ですので、ISMSとは単に情報セキュリティのシステムを構築するだけでなく、継続的に改善することをも含んだ仕組みです。
ISMSは大きな会社が導入するもの?
ISMSの効果は組織規模に比例して大きくなりますが、大きくなればなるほど導入の難易度も上がります。
数人規模の組織であれば、社長の目が行き届き、あえてISMSを導入する必要は無いかもしれません。また、数人規模の組織は、一般的にスピード感や柔軟性を売りにしている場合が多く、下手にISMSを導入するとそれらの強みが損なわれる可能性もあります。
とは言え、組織が大きくなるほどISMSの導入は難しくなります。正確に言えば、導入はできても運用が難しくなります。組織が大きくなればなるほど、人材が多様化していき、方向性をそろえることが難しくなります。中には組織に対して強い反感を持つ人もいるかもしれません。
今まで運用してきた決まりを変えろと言われたら、少なからず誰しも思うところがあるものです。しかし、組織に加わった時点で存在する決まりに関しては、受け入れやすいものです。
したがって、従業者の目線を合わせられる、気持ちを合わせられる規模のうちにISMSをその時点の身の丈に合わせて構築し、組織の成長に合わせてISMSも変えていくのが正解かもしれません。
ISO27001とは
ISMS(情報セキュリティマネジメントシステム)を、どのように「構築」し、どのように「運用」すれば、認証を取得することができるのかを定めた「要求事項=審査の基準」の国際規格です。
ISMS認証を取得したい場合は、この内容をご自分達なりに解釈し、具体化していただく必要があります。
ISMS認証の取得後は再認証審査(更新審査)が3年毎にあります。再認証審査が無い年には、継続審査(定期審査)があります。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00