ISO27001の予備知識Q&A
ISO27001の予備知識に関するよくあるご質問をQ&Aとしてまとめました。
- Q. ISO27001とは?
-
ISO27001とは、情報セキュリティマネジメントシステム(Information Security Management System 以降ISMS)を構築・運用し、継続的に改善するための規格です。
- Q. ISMSとは何ですか?
-
ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)の略称で、情報セキュリティを最適化するための仕組みのことです。なお、マネジメントシステムとは、単純な管理のための仕組みではなく、継続的に改善を持続するための要素を取り込んだ仕組みです。
- Q. JIS Q 27001とは何ですか?
-
JIS Q 27001は、ISO27001の翻訳に近いものです。内容は同じものとお考えいただいて支障はございません。
- Q. JIS Q 27001認証とISO27001認証は何が違いますか?
-
認証そのものは別ですが、同じ価値のものとお考えいただいて支障はございません。
また、日本における審査の際の適用規格は一般的にはJIS Q 27001なのですが、JIS Q 27001の改訂が間に合っていない場合は、改訂版が発行されるまでの繋ぎで例外的にISO27001が適用されることがあります。
- Q. ISMSのグループ認証とは何ですか?
-
グループ会社が複数ある場合に、ISMSをそれぞれ単独で取得するのではなく、グループ全体でまとめて取得することができます。それを俗に「グループ認証」と呼んでいます。
- Q. 附属書Aとは何ですか?
-
ISO27001の規格の一部で、管理策(情報セキュリティのための対策)が記載されています。ISMSの取得には、附属書Aの内容の理解や実施も求められます。
- Q. ISMSの管理策とは何ですか?
-
入退室管理やパスワード管理等、リスクマネジメントのための各種対策のことです。附属書Aに管理策のサンプルが書かれていますが、あくまでもサンプルであり、自由に管理策を検討してください。ただし、見落としなどがないか附属書Aのサンプルを使って確認することが求められています。
- Q. ISO27001を取得するメリットは何ですか?
-
セキュリティパフォーマンスの向上により、損害の予防・発生時の損害抑制に繋がりますので、セキュリティの事故を無くしたり、減らすことが可能となります。
また、情報の管理をすることで業務の効率を上げ、「誰がどの情報をどこに持っているのか」という状況を把握して、適切な共有をすることが業務の冗長性向上へと繋がります。
- Q. プライバシーマークとの違いは何ですか?
-
プライバシーマークが個人情報の保護をテーマとしているのに対して、ISO27001は、情報セキュリティリスクのマネジメントをテーマとしております。また、ISO27001で言う情報資産は、個人情報を含んだ情報全般を対象としています。
- Q. ISO27001とプライバシーマークのどちらを取得した方が良いですか?
-
目的とその組織が何を重視するかによって結論は変わるのではないでしょうか。ご質問いただいた場合は、少なくとも目的をお聞かせいただいたうえでアドバイスさせていただいております。
- Q. ISMSとISO27001は何が違うのですか?
-
ISO27001は規格要求、ISMSは「仕組み」です。どのようにISMSを構築して運用するのかを、規格として定めたものがISO27001なので、そもそも比較すべきものではありません。
ちなみに、ISO27001が発行される前、日本では「ISMS適合性評価制度」という名称の制度が運用されていました。その名残がISMS=ISO27001という認識であろうかと思われます。
- Q. ISO27001の規格はどこで購入できますか?
-
一般財団法人日本規格協会の書籍販売サイトで販売されています。
- Q. ISMSの目標とは何ですか?
-
ISMSの目標とは、目的を達成する過程でのパフォーマンスを改善するための指標のようなものです。
- Q. ISMSの目標には、どのようなものと立てたらいいのでしょうか?
-
例えば、特定のミスの件数を昨年比で減らすといった目標が考えられます。
- Q. ISMSの適用範囲とは何ですか?
-
ISMSを構成するルールや手順を適用する範囲のことです。具体的には、対象となる事業活動、対象となる組織、対象となる物理的環境、対象となる論理的環境、といった観点で決定していきます。
この範囲は、法人の枠にとらわれず、複数のグループ企業にまたがって取得したり、法人内の一部署に限定したりすることも可能です。
- Q. ISMSの適用宣言書とは何ですか?
-
組織が採用する管理策、附属書Aの管理策の内、採用しない管理策を示す文書のことです。ISMSの取得では、適用宣言書の作成が必須となります。
- Q. PDCAとは何ですか?
-
PDCAとは、Plan(計画)・Do(実施)・Check(確認)・Act(処置)の略で、これを順番に繰り返し実施していくことで、継続的にシステムを改善していくことができます。
PDCAは循環構造になっており、循環そのものをPDCAサイクルと言い、循環させることを「PDCAを回す」と言います。ISMSを取得するには、PDCAを回す必要があります。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00