ISMS(アイエスエムエス)とは「情報セキュリティマネジメントシステム」のことです。
一言でいえば、「組織が取り扱うデータや情報などを、適切に管理・保全するための仕組み」を意味します。
あらゆるモノがインターネットにつながる「IoT社会」が実現しつつある現代。ほぼすべての企業が、ビジネスに「インターネット」を用いています。
そのため、自社やお客様が保有する機密情報やデータの「漏洩対策」をしたり、悪意のある人物による「データの改ざん」を防いだりすることが、より一層求められるようになりました。
そうしたなかで「情報セキュリティ対策を講じている」事実を、取引先やエンドユーザーに対して表明する資格の一つとして誕生したのが「ISMS」というわけです。
日本でISMS認証の審査がスタートした2002年以来、6239社もの企業が、ISMS認証を取得しています(2020年8月現在)。
しかし、ISMS認証を取得するのは、そう簡単なことではありません。定められた要件に合致する対策を講じないと、ISMS認証を取得することはできないため、注意が必要です。
そこで本記事では、以下について解説します。
本記事でわかること |
・ISMSとは? |
「ISMSの取得を検討しているが、そもそも自社には必要なのかわからない」
「ISMSの取得を検討しているが、何から始めたらいいのかわからない」
という方に、おすすめの記事です。
それでは早速、みていきましょう。
1.ISMSとは?
まずは「ISMSとは何か?」ということについて、以下の3点から説明します。
ISMSとは何か? |
・ISMSの定義 |
一つずつ、みていきましょう。
1-1.「ISMS」の定義
ISMS(Information Security Management System)の定義は、冒頭でお伝えした通りです。
ISMSの定義 |
ISMS(アイエスエムエス)とは「情報セキュリティマネジメントシステム」のこと。「組織が取り扱う情報(データ)を、適切に管理・保全するための仕組み」を意味する |
「ISMS=情報セキュリティマネジメントシステム」という言葉を、かみ砕くと「情報セキュリティを管理する仕組み」となります。
ここでわかりづらいのが「情報セキュリティ」の内容ではないでしょうか。その点について、情報マネジメントシステム認定センターでは、以下のように定義しています。
情報セキュリティの主な3要素 | |
機密性 | 認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性 |
完全性 | 正確さ及び完全さの特性 |
可用性 | 認可されたエンティティが要求した時に、アクセス及び使用が可能である特性 |
出典:情報マネジメントシステム認定センター「ISMS(情報セキュリティマネジメントシステム)とは」
かみ砕いていえば、外部に漏らしてはならない「機密情報」を、以下3点の状態にすることが「情報セキュリティ」といえます。
「情報セキュリティ」に求められること |
①機密情報を外部に漏らさない |
これら3つの情報セキュリティの柱に対応するセキュリティ対策を講じることが、ISMS認証の取得に必要不可欠なことなのです。
例えば、コンタクトセンター(コールセンター)の場合。具体的には、以下のような取り組みが求められます。
コンタクトセンターが実行すべき「情報セキュリティ」対策の事例 | |
機密性 | ①機密情報を外部に漏らさない |
完全性 | ②漏洩防止対策を徹底的に行う |
可用性 | ③関係者はすぐにアクセスできる |
「ISMS=機密性・完全性・可用性の3つを満たした情報セキュリティ対策」であり、この対策を実行することが、ISMS認証の取得につながります。
非常に重要なポイントですから、ぜひ覚えておきましょう。
1-2.企業が守るべき「情報」とは?
ISMSが、「組織が取り扱う情報(データ)を、適切に管理・保全するための仕組み」であることは、ご理解いただけたのではないでしょうか。
その一方で「守るべき情報が、具体的に何を指しているのかわからない」という方もいるのではないでしょうか。
結論からいえば、企業が守るべき情報は、以下の2つです。
①企業内機密情報
②個人情報
①「企業内機密情報」とは?
「企業内機密情報」とは、企業が利益を創出し、事業を継続していくために必要な情報のことです。
例えば、新商品開発に関する「プロジェクト仕様書」などは、企業の売上を創出する「企業内機密情報」に該当します。
プロジェクト仕様書が、競合他社に漏れて先にリリースされてしまったら、その企業は売上を上げる機会を損失してしまうからです。
「重要度の高い情報=企業内機密情報」といえます。
以下の情報も「企業内機密情報」に該当します。
情報の種類 | 例 |
経営情報 | 展開計画情報、在庫情報 など |
財務情報 | 合弁計画情報、予算情報、融資申し込み情報など |
研究開発情報 | 研究報告書、プロジェクト仕様書など |
マーケティング及び広報情報 | お客様個人情報、販促情報など |
人事情報 | 社員の給与情報、異動情報など |
出典:公益財団法人あいち産業振興機構「セキュリティ対策は何故必要か?」
こうして眺めてみると、企業が取り扱う情報は、ほとんど例外なく「企業内機密情報」に該当します。
企業が取り扱う情報は、原則として、漏洩対策を講じなければならないものだといえます。
「企業内機密情報は金銭と同じくらい重要な価値をもつ“資産”」だといえるでしょう。
②「個人情報」とは?
一方、個人情報とは、生存する個人を特定するのに有効な情報のことです。
個人情報保護法では、以下のように定義されています。
(定義) 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 二 個人識別符号が含まれるもの |
出典:e-Gov法律検索「平成十五年法律第五十七号 個人情報の保護に関する法律」
例えば、「神奈川県に住んでいる山田さん」という情報があった場合。
一見、個人情報の塊のようにも思えますが、厳密には個人情報に該当しません。「神奈川県に住んでいる山田さん」は山ほどいるため、個人を特定する情報にならないからです。
一方、「神奈川県横浜市●●区●●町1-2-3に住んでいる山田太郎さん」という情報があった場合はどうでしょうか。こちらは、個人情報に該当します。なぜならば、住所と姓名が明らかになっており、個人の特定ができるものだからです。
企業が取り扱う情報としては、こういった「個人情報(=生存する個人を特定できる情報)」も、情報セキュリティ対策の一環として、適切に管理する必要があるのです。
以上で説明した「企業内機密情報」と「個人情報」の2つが、企業が守るべき情報です。
1-3.「ISMS」と「ISO27001」の違い
「ISMS」という言葉を検索すると「ISO27001」という言葉も一緒に見かけることがあります。
しかし「この2つの言葉の関係が理解できない」という方が少なくありません。結論からいうと、それぞれの違いは以下の通りです。
「ISMS」と「ISO27001」の違い |
●ISMS: ●ISO27001: |
平たくいえば、「ISMS=情報セキュリティに関する概念」であるのに対し、「ISO27001=ISMSを実現するための要求事項(=具体的条件・ルール)」です。
つまり、ISMS認証を得るには、ISO27001に記載されている要求事項を満たさなければならないということです。
なお、ISO27001は国際規格であり、英語・フランス語・ロシア語で書かれています。
英語が読めない場合には、JIS(日本産業規格)が日本語訳した「JIS Q 27001」を取得して、ISMS認証の取得に取り組みましょう。
「JIS Q 27001」は、「本文」と「付属書A」から構成されています。
「JIS Q 27001」の内容 |
●本文: ●付属書A: |
日本語訳を入手したい方は、日本規格協会グループのサイトにアクセスしてください。
【入手はこちらから】
・JIS Q 27001:2014
・情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項
・Information technology — Security techniques — Information security management systems — Requirements
2.「ISMS認証」 を取得するメリット
ここまでの記事を通して「ISMSとは何か」について、理解できたかと思います。
その一方で「ISMS認証を取得すべきか」について、迷っている方も少なくないのではないでしょうか。
そこで本章では、ISMS認証を取得するメリットを解説します。
「ISMS認証」 を取得するメリット |
メリット①:ブランドイメージが向上する |
一つずつ、みていきましょう。
2-1.【メリット①】ブランドイメージが向上する
一つ目のポイントが「企業のブランドイメージの向上」です。
例えば、以下のような会社があった場合。あなたは、どちらの会社と取引したいと思うでしょうか。
セキュリティ対策に対する「態度」の比較 |
【●A社:セキュリティ対策を行わない】 オフィスにカギをかけるが、資料や契約書は、机のうえに出しっぱなしでも問題ない組織風土。セキュリティ対策など、目に見えないもの。多少、漏洩したって何の問題もない。 それよりも、事業で売上を上げていくことの方が大事だ。ISMS?それは一体、どういうものなのでしょうか。 【●B社:セキュリティ対策を講じる】 加えて、社内で管理する「紙ベースの情報」も情報資産なので、不要なものはシュレッダーにかける、契約書などはカギ付きのキャビネットにしまう、なるべくペーパーレス化(PDF化)するなどの対策も講じる。 セキュリティ対策は、目に見えないものだが、取引先や自社を懇意にしてくれるエンドユーザーとのロイヤルティを形成するうえで欠かせないもの。 多少なりともお金がかかるが、関係者の信頼を失うほうがずっと怖い。だから、これからもセキュリティ対策を行っていきたい。もちろん、ISMS認証も取得している。社内にも、情報セキュリティに関する意識が浸透してきている。 |
A社とB社を比較した場合、どうでしょうか。
A社がどんなに優れた商品をもっている会社だったとしても、A社と取引したいと思う企業はほとんどいないでしょう。こうした実態があかるみになれば、顧客もA社の商品を購入しなくなるはずです。
一方、真摯にセキュリティ対策を実施するB社は、信頼できます。「この会社ならば、安心して取引できる」と思えるため、B社の商品を取り扱う企業が増えていくでしょう。
上記の事例のように「セキュリティ対策への態度」や「ISMS認証の有無」は、企業のブランドイメージを大きく左右するものなのです。
2-2.【メリット②】大手や官公庁との取引に必要な場合がある
官公庁の入札案件には「競争参加資格」といった項目が設けられています。
「入札に参加するうえでの条件」が明示されており、条件を満たさなければ、入札に参加できないということです。簡単にいえば「入札の参加条件」です。
この参加条件には「ISMS認証の取得 もしくは それと同等以上の情報保護体制」が求められるケースが少なくありません。
例えば、令和元年12月26日に東京法務局によって公告された「テレビ手続案内システムの導入・運用業務一式」では、以下の一文が記載されています。
2 競争参加資格 |
出典:法務局「入札公告(令和元年12月26日 件名:テレビ手続案内システムの導入・運用業務一式)」
一方、「ISMS認証の取得」が「必須条件」になっている入札案件もあります。
一例としては、令和2年6月12日に千葉県山武市によって公告された「ハザードマップ改訂業務委託」が挙げられます。
3入札参加者の資格要件 (4)法律による許可等次に掲げる認証を全て受けている者 |
出典:山武市「条件付き一般競争入札の実施について(令和2年6月12日) 件名:ハザードマップ改訂業務委託」
官公庁の入札案件を獲得していきたいと考えている場合、ISMS認証は取得しておいた方がよいものといえるでしょう。
なお、昨今では、官公庁のみならず、一般企業も取引先の選定において「ISMS認証の有無」を取引の条件に据える場合があります。
「官公庁や企業からセキュリティで安心をしてもらいたい」と考えている場合には、ISMS認証を保有しておいた方がよいでしょう。
2-3.【メリット③】情報セキュリティ関連の「事故」を防げる
ISMS認証を取得する3つ目のメリットが「情報セキュリティ関連の事故を防げる」という点です。
「1-2.企業が守るべき「情報」とは?」にもある通り、企業が取り扱う「情報(=企業内機密情報+個人情報)」は、金銭と同じくらい重要な価値をもつ“資産”」であり、対策を怠ることで、機密情報や個人情報の流出につながり、想像以上の損害をもたらすこともあります。
そういった情報セキュリティ関連の事故を防ぐためには、技術的な情報セキュリティ対策だけでなく、人が関与する運用・管理面のセキュリティ対策も含め組織全体の情報セキュリティ管理の仕組みを確立、継続的な改善を会社として維持することが重要です。
3.「ISMS認証」 を取得する注意点
「ISMSのメリット」について、理解できたかと思います。
その一方で「注意点」が気になっている方も少なくないのではないでしょうか。
そこで本章では、ISMS認証を取得する際の注意点を解説します。
「ISMS認証」 を取得する注意点 |
注意点①:従業員の業務負荷が増加する |
一つずつ、みていきましょう。
3-1.【注意点①】従業員の業務負荷が増加する
一方で、ISMS認証の取得には「注意点」があります。その一つが「従業員の業務負荷の増加」です。
情報セキュリティへの取り組み方は、企業によってまちまちなので一概にはいえません。
しかし、以下のような業務負荷が発生する可能性があります。
ISMS認証の取得によって発生する業務負荷 |
・ID・パスワードを3ヵ月に1回変更しなければならない |
慣れてしまえば、大したことはないかもしれません。しかし、ISMSの運用にともなう環境の激変は、従業員にとって「大きなストレス」になる可能性があります。
従業員に対しては、取得後も永続的に「情報セキュリティ対策への協力」をあおがなければなりません。ISMSの担当窓口にとっても、業務負荷の増加につながります。
こうした点は、ISMS認証を取得するうえでの「最大の注意点」といえるでしょう。
業務負荷にかかわるデメリットを解消するには、必要な情報セキュリティルールを増やしすぎないことです。
自分たちが対応できる範囲での最善を目指す事が、とても大事なポイントです。
3-2.【注意点②】「取得前・取得後」に費用がかかる
ISMS認証の審査費用は、審査機関、従業員の人数規模、事業所の数などによって大きく異なります。
しかし、仮に30名程度の規模だったとしても、審査機関による審査だけで「85~90万円」程度が相場です。
加えて、ISMS認証の取得には専門知識が求められるため、コンサルタントに依頼するのが一般的です。
そうした場合にも、少なからぬ費用が発生します。一概にはいえませんが、目安としては「50~200万円」程度です。
加えて、ISMS認証に足りうる環境に整えるための「セキュリティ対策ソフト」や「カギつきキャビネットの購入」「対策に関わる従業員の人件費」なども発生します。
そして、取得後にも「維持費用」と3年ごとの「更新費用」が発生します。
ISMS認証の取得によって発生する審査費用・維持費用・更新費用の例 |
・初年度(取得費用) 85万円 |
積み上げていくと、数百万円単位の予算が必要になります。
「ISMS認証の取得が、自社の売上拡大に欠かせない」「情報セキュリティ対策が事業継続上、不可欠である」という場合には、取得すべきです。
しかし、そうでない場合には「費用対効果」を考えたほうがよいでしょう。
以上が、ISMS認証を取得するメリット・注意点です。改めて内容をまとめます。
「ISMS認証」を取得するメリット・注意点まとめ | |
メリット | 注意点 |
メリット①: | 注意点①: |
メリット②: | 注意点②: |
メリット③: |
上記を比較検討したうえで、ISMS認証を取得するか否かを検討してみてください。
4.「ISMS」と「プライバシーマーク」の違い
前項を通じて「ISMS認証を取得すべきだ」と思った方のなかには、
「セキュリティ関連の認証では『プライバシーマーク』もある。念のため、どっちがいいのか検討しておきたい」
と考えた方も、少なくないのではないでしょうか。
そこで本項では、以下について解説します。
「 ISMS」と「プライバシーマーク」の違い |
・プライバシーマークの定義 |
一つずつ、みていきましょう。
4-1.プライバシーマークの定義
プライバシーマーク(Pマーク)とは、企業や団体が「個人情報」が漏洩しないよう、適切に扱っていることを認証するものです。
つまり、プライバシーマークにおける保護の対象は「個人情報」のみです。
「②『個人情報』とは?」でお伝えした通り、個人情報とは、生存している個人を特定できる情報のことです。
一般財団法人日本情報経済社会推進協会が、審査しているもので、認証が得られた企業は、プライバシーマークを、ホームページや名刺などに印刷してよいことになっています。
プライバシーマークの利用が許可されている媒体の例 |
・ホームページ |
プライバシーマークを取得することで、リスク管理を行う企業とのイメージをもたれます。その結果、企業としての「ブランドイメージ」が向上します。
大手企業や官公庁との取引を行う際に有利に働くでしょう。
4-2.「 ISMS」と「プライバシーマーク」の違い
ISMSでは、企業が取り扱う「情報資産すべて」が保護の対象です。つまり「企業内機密情報+個人情報」に対する情報セキュリティ対策が必要ということです。
一方、プライバシーマークでは「個人情報」のみに焦点が当てられています。つまり「保護の対象範囲の違い」は、両者の大きな違いといえます。
もう一つ、重要なポイントがあります。
それは、ISMSは国際標準規格である「ISO27001」がベースの規格ですが、プライバシーマークは日本国内のみの規格であるという点です。
「国内企業との取引が多い」「個人情報の取り扱いが多い」という場合には、プライバシーマークでも問題ありませんが、そうでない場合には、ISMS認証を取得しておいた方が安心です。
主な違いをまとめましたので、ご覧ください。
「ISMS」と「プライバシーマーク」の違いまとめ | ||
ISMS | プライバシーマーク | |
概要 | 国際標準規格「ISO27001」に基づいた情報セキュリティ対策が講じられていることを認定する制度 | 個人情報を適切に扱っていることを認定する制度 |
保護の対象 | 企業が取り扱う「情報資産すべて」 | 個人情報のみ |
規格の範囲 | 国際標準規格 | 国内規格 |
認証の単位 | 組織単位(部門・事業) | 会社単位(全社) |
更新頻度 | 3年に1回 | 2年に1回 |
審査の範囲 | 広く浅くチェックする | 個人情報に絞って |
4-3.結局、どちらを取得した方がいいのか?
結局のところ、どちらを取得した方がよいのでしょうか。
一つの考えとしては、大手や官公庁との取引がある場合には、両方取得するのがベストです。そうでない場合には、ケースバイケースで判断するのがよいです。
先述の通り、ISMSは、広く浅くあらゆる情報資産に関するセキュリティ対策が審査される一方、プライバシーマークは、個人情報に絞って狭く深く審査されます。
2つの認証は、それぞれ守るべき領域に濃淡があるため、大手や官公庁との取引がある場合には、両方取得しておいた方が安心というわけです。
トランスコスモスが運営しているコンタクトセンター(電話やメールに加え、SNS、チャットなど幅広いコミュニケーションチャネルを利用して、顧客と企業を結ぶ部署を指す。以前は電話コミュニケーションのみだったので、コールセンターと呼ばれており、現在でもコールセンターで表現されている所も多い。)では、ISMS27001取得しています。
加えて、会社全体ではプライバシーマークの認証を取得しています。
一方、大手や官公庁との取引がない場合には、予算との兼ね合いを加味して「ケースバイケース」で判断するのがよいと思います。
BtoBで事業を行うIT系の企業であれば、ISMS認証。
一方、BtoCで、一般顧客との取引がメインの通信販売会社であれば、プライバシーマークを取得等、自社の事業の特性を踏まえて「ISMSとプライバシーマーク、どちらの認証を取得するべきか」判断してみてください。
5.ISMS認証を取得する流れ「10STEP」
今までの記事を通して「ISMS認証を取得したい」と考えた方もいると思います。その場合、次に気になるのが
「どうやってISMS認証を取得すればいいの?」
という点ではないでしょうか。そこで本項では、ISMS認証を取得するまでの流れを「10STEP」で解説します。
ISMS認証を取得する流れ「10STEP」 | |
STEP | 実行内容 |
STEP1 | 「計画」を立てる |
STEP2 | 「情報資産の洗い出し」を行う |
STEP3 | 「リスクアセスメント」を実施する |
STEP4 | 自社の情報を取り扱う「委託先の管理」を行う |
STEP5 | 自社に関わる「セキュリティ関連の法律」をチェックする |
STEP6 | 「情報セキュリティポリシー」「ISMS遵守マニュアル」を策定する |
STEP7 | 従業員への「セキュリティ教育」を行う |
STEP8 | 「内部監査」を実行する |
STEP9 | 「2回の審査」を受ける |
STEP10 | 「PDCAサイクル」 を回し続ける |
一つずつ、みていきましょう。
5-1.【STEP1】「計画」を立てる
まずは、ISMS認証を取得するための「全体計画」を立てましょう。
最初に決めておきたい「主な計画事項」は、以下の通り「6項目」です。
ISMS認証の取得にあたって決めておきたい計画事項 | |
①プロジェクト担当者 | 誰が「全体責任者(意思決定をするトップ)・プロジェクト管理者・内部監査員・プロジェクトメンバーになるのか」を決める |
②いつまでに取得するか | 「取得する目標期日」を決める |
③予算 | 「ISMS認証の取得」に割り当てる予算を決める |
④審査機関 | 「どの審査機関に審査を依頼するのか」を決める |
⑤コンサルタント依頼 | 「コンサルタントに依頼するか否か」「(依頼する場合)どのコンサルタントに依頼するのか」を決める |
⑥適用範囲 | 「ISMSの適用範囲(全社/特定部署のみ)」について決める |
上記と併せて、ISMSの規格について日本語訳で書かれた「JIS Q 27001」を入手して理解しておきましょう。
日本語訳を入手したい方は、日本規格協会グループのサイトにアクセスしてください。
【入手はこちらから】
・JIS Q 27001:2014
・情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項
・Information technology — Security techniques — Information security management systems — Requirements
5-2.【STEP2】「情報資産の洗い出し」を行う
続いて、社内にある情報資産の洗い出しを行いましょう。
フォーマットがバラバラだとわかりづらくなるため、プロジェクト指定のフォーマットに記入してもらうのがベストです。
フォーマットは、以下の通り、5項目が記載できるとよいでしょう。
情報資産管理表のフォーマット 作成例 | |
項目 | 記入例 |
情報資産の名称 | 領収書 |
情報資産の管理者 | 経理部 山田太郎 |
情報資産の保管場所 | カギつきのキャビネット(経理部3階) |
情報資産の保管期間 | 2030年12月25日 |
記入日 | 2020年12月25日 |
情報資産としては、以下のようなものが挙げられます。
1日では書ききれない可能性があるため数日~数週間など期限を設けて、記載するよう促しましょう。
情報資産の例 |
●データの内容 ●媒体の例 |
5-3.【STEP3】「リスクアセスメント」を実施する
続いて「情報資産のリスクアセスメント」を実施しましょう。
「情報資産のリスクアセスメント」とは、情報セキュリティ上、発生しうるリスクを洗い出し、そのリスクが発生したときの影響度合いを分析・評価することです。
情報資産のリスクアセスメントでは、そのリスクに対してどう対処するのかを決める「リスク対応」も行うようにしてください。
まとめると、リスクアセスメントの流れは以下の通りです。
リスクアセスメントの流れ「4STEP」 | |
STEP.1 | 【リスクの特定】 例:USBスティックの利用 |
STEP.2 | 【リスクの分析】 |
STEP.3 | 【リスクの評価】 |
STEP.4 | 【リスク対応】 例:リスク回避 |
5-4.【STEP4】自社の情報を取り扱う「委託先の管理」を行う
続いて、自社の情報を取り扱う「委託先の管理」を行いましょう。
情報の委託先の情報セキュリティ管理の甘さがきっかけとなって起こる「情報漏洩事故」が多発しており、そうした事故を防ぐためです。
例えば、高齢者向けの食事宅配サービスを提供している会社の場合。
定期的に食事を届ける顧客リストを保有しており、そうした顧客リストは提携する配送会社が所有している場合があります。
そういった場合には、食事の宅配を請け負う配送会社を、リスト化して管理しておくということです。
そのうえで、必要に応じて、以下3点を実施しましょう。
情報の委託先に対する取り組み |
・情報漏洩対策が行われているのかに関する調査 |
5-5.【STEP5】自社に関わる「セキュリティ関連の法律」をチェックする
情報セキュリティ関連の法律は、法改正によって変更される場合があります。過去の法律に基づいた対処を行っていると、不十分な場合があります。
そのため、自社の情報セキュリティの運用上、関わりが大きいセキュリティ関連の法律は、定期的にチェックし、最新情報の取得に努めるようにしましょう。
情報セキュリティ関連の代表的な法律 |
・個人情報保護法 |
5-6.【STEP6】「情報セキュリティポリシー」「ISMS遵守マニュアル」を策定する
ISMS認証を取得するにあたっては、以下2点を策定しておきましょう。
情報セキュリティポリシーは、ISMSや情報セキュリティに対する考え方・行動指針をまとめたものです。この指針をベースに、社内にISMS(情報セキュリティ体制)を築いていきます。
ISMS遵守マニュアルは、従業員が情報セキュリティを実施するために行うべきことをまとめた文書です。情報セキュリティポリシーだけでは、意図をつかみづらい場合に備えて用意します。
ISMS遵守マニュアルは、誰が読んでもわかるよう、専門用語を用いず、簡潔にまとめることを心がけてください。
策定しておきたい指針・マニュアル | |
情報セキュリティポリシー | ISMSや情報セキュリティに対する考え方・行動指針をまとめたもの。以下の内容で構成する |
ISMS遵守マニュアル | ISMSを維持していくための実施方法などをまとめたマニュアル。従業員が読むため、専門用語を用いず、わかりやすく作成すること |
5-7.【STEP7】従業員への「セキュリティ教育」を行う
情報セキュリティポリシーとISMS遵守マニュアルがあれば十分と考えるかもしれません。しかし、それは大きな勘違いです。
なぜならば、マニュアルを読んだとしても、マニュアルの内容通りに実行できるか否かは別問題だからです。
ISMSにおいては、従業員に以下の2点を身につけさせることが大切です。
従業員に身につけさせたい情報セキュリティスキルの例 |
・情報セキュリティ関連の事故による影響(会社の売上減や赤字、廃業のリスクがあること) |
これらのスキルを身につけさせるために、マニュアルの読み合わせやセミナーのほか、いつでも復習できるようにeラーニングを提供したり、定期的なテストを実施したりしましょう。
5-8.【STEP8】「内部監査」を実行する
内部監査を行いましょう。
内部監査とは、情報セキュリティを適切に維持・管理する体制が整えられているかをチェックすることです。
内部監査は、以下の手順で行ってください。
内部監査の流れ「5STEP」 | |
STEP.1 | ●内部監査員の選出 |
STEP.2 | ●監査項目(チェックリスト)の作成 |
STEP.3 | ●内部監査の実施 |
STEP.4 | ●監査結果の報告書の作成 |
STEP.5 | ●マネジメントレビュー |
5-9.【STEP9】「2回の審査」を受ける
ISMSの審査は2回実施されます。1回目の審査から認証書が届くまでは約2ヵ月となります。
それぞれの内容は以下の通りです。
ISMSの監査の流れ「2STEP」 | |
STEP.1 | ●第一審査 ・トップマネジメントに対するインタビュー ・情報セキュリティのチェック |
STEP.2 | ●第二審査 |
これらの審査をクリアすることで、ISMS/ISO27001の認証取得となります。
5-10.【STEP10】「PDCAサイクル」 を回し続ける
ISMS認証は取得したら終わりではありません。
認証の取得後も、3年ごとの更新に備えて情報セキュリティ対策の維持・向上に努め続ける必要があります。
以下のPDCAサイクルをまわしていきましょう。
ISMSの「PDCA」 | |
P(Plan):計画 | ・リスクアセスメントの実施 |
D(Do):実行 | ・マニュアルの読み合わせ |
C(Check):チェック | ・内部監査 |
A(Act):行動 | ・情報セキュリティに関する事件が発生した際の是正措置の実行 |
6.トランスコスモスが取り組む「ISMS」
トランスコスモスでは、お客様の情報と資産を守り、信頼されるパートナーになることを目指し、全国61センター(2022年3月時点)で情報セキュリティマネジメントシステムISO27001認証を取得しています。
「一般財団法人日本要員認証協会 マネジメントシステム審査員評価登録センター(JRCA)認定 審査員補」の資格を保有している担当者を中心に、各センターでもISMS推進担当を配置し、お客様企業により安心して活用していただける情報セキュリティ管理体制の構築と継続的な強化を図っています。
ISO27001に基づく情報セキュリティマネジメントシステムの活動を通じて、従業員全員でお客様の情報と資産を守り、日々情報セキュリティの活動を続けています。
取り組み内容を詳しく知りたい場合はこちらを参照ください。
まとめ
いかがでしたか。
ISMSとは何かについて、理解が深まったのではないでしょうか。
ここで本記事のまとめを入れます。
- 「ISMS」の定義
ISMS(アイエスエムエス)とは「情報セキュリティマネジメントシステム」のこと。「組織が取り扱う情報(データ)を、適切に管理・保全するための仕組み」を意味する
- 企業が守るべき「情報」とは?
・企業内機密情報
・個人情報 - 「ISMS」と「ISO27001」の違い
・ISMS:組織が取り扱うデータや情報などを、適切に管理・保全するための仕組み
・ISO27001:ISMSを実現するための国際規格 - 「ISMS認証」 を取得するメリット・注意点
「ISMS認証」を取得するメリット・注意点まとめ | |
メリット | 注意点 |
メリット①: | 注意点①: |
メリット②: | 注意点②: |
メリット③: |
・プライバシーマークの定義
プライバシーマーク(Pマーク)とは、企業や団体が「個人情報」が漏洩しないよう、適切に扱っていることを認証するもの
- 「 ISMS」と「プライバシーマーク」の違い
「ISMS」と「プライバシーマーク」の違いまとめ | ||
ISMS | プライバシーマーク | |
概要 | 国際標準規格「ISO27001」に基づいた情報セキュリティ対策が講じられていることを認定する制度 | 個人情報を適切に扱っていることを認定する制度 |
保護の対象 | 企業が取り扱う「情報資産すべて」 | 個人情報のみ |
規格の範囲 | 国際標準規格 | 国内規格 |
認証の単位 | 組織単位(部門・事業) | 会社単位(全社) |
更新頻度 | 3年に1回 | 2年に1回 |
審査の範囲 | 広く浅くチェックする | 個人情報に絞って |
・結局、どちらを取得した方がいいのか?
・大手や官公庁との取引がある場合には、両方取得するのがベスト
そうでない場合には、ケースバイケースで判断するのがよい
・自社の事業の特性を踏まえて「ISMSとプライバシーマーク、どちらの認証を取得するべきか」判断する
- ISMS認証を取得する流れ「10STEP」
ISMS認証を取得する流れ「10STEP」 | |
STEP | 実行内容 |
STEP1 | 「計画」を立てる |
STEP2 | 「情報資産の洗い出し」を行う |
STEP3 | 「リスクアセスメント」を実施する |
STEP4 | 自社の情報を取り扱う「委託先の管理」を行う |
STEP5 | 自社に関わる「セキュリティ関連の法律」をチェックする |
STEP6 | 「情報セキュリティポリシー」「ISMS遵守マニュアル」を策定する |
STEP7 | 従業員への「セキュリティ教育」を行う |
STEP8 | 「内部監査」を実行する |
STEP9 | 「2回の審査」を受ける |
STEP10 | 「PDCAサイクル」 を回し続ける |
この記事が、「ISMSとは何か」について知りたい方のお力になれましたら幸いです。