ISMS 認証とは、組織が情報セキュリティに関するリスクを適切に管理できていることを証明する評価制度です。 ISMS 認証という言葉を聞いたことはあるものの、具体的にどのようなものなのか、どうすれば取得できるのかわからない人も多いでしょう。
本記事では、 ISMS 認証の概要から取得するメリット、 ISMS 認証を得るための手順などについて解説します。あわせて取得までにかかる期間やコストも解説するため、参考にしてください。
ISMS 認証とは
まず ISMS とは「 Information Security Management System 」の頭文字を取った言葉です。保有する情報の重要度に応じて適切なリスクマネジメントを実施し、改善を継続的に進めていく仕組みのことを指します。
ISMS 認証とは、 ISMS がしっかりと構築・運用されていることを証明する評価制度です。 ISMS 認証を得ることで、情報を適切に管理できている客観的な証明ができ、ステークホルダーに対しても安心感や信頼感を与えることができます。審査機関が実施する審査をクリアすることで、 ISMS 認証を取得できます。
Pマークとの違い
ISMS 認証と混同しがちなものとして、 P マークが挙げられます。 P マークとはプライバシーマークのことで、個人情報の取り扱いに関する認定制度です。個人情報保護対策として多くの企業で導入されている制度で、個人情報の取り扱いにおいて一定のレベルを満たしていることを証明できます。また、 P マークは法人単位での取得となっており、更新タイミングは2年です。
一方、 ISMS は情報全体を管理するためのシステムです。すべての情報を対象としているため、個人情報も含まれています。法人単位だけでなく、事業部や部、課単位、プロジェクト単位での認証取得も可能で、更新タイミングは3年となっています。
ISMS 認証を取得するメリット
ISMS 認証を取得することで得られる主なメリットとしては以下のとおりです。
- 顧客や取引先からの信頼が得られる
- セキュリティリスクの低減につながる
- 自治体や大手企業の発注要件を満たせる
各メリットについて詳しく解説するので、 ISMS 認証への理解を深めるための参考にしてください。
顧客・取引先からの信頼性が向上する
ISMS 認証を取得することで、顧客や取引先からの信頼性向上につながります。顧客や取引先などの外部からは、組織がどのようなセキュリティ対策を講じているのか、セキュリティレベルなどの詳細を知ることができません。
自社で行っているセキュリティ対策や運用方法、セキュリティレベルなどを公表することはできますが、客観的な証明にはなりません。
しかし ISMS 認証を受けていれば、情報セキュリティに関する条件を満たした企業であることを客観的に証明できるため、顧客や取引先から信頼してもらいやすくなります。
セキュリティリスクを低減できる
セキュリティリスクを低減できることも大きなメリットです。ISMS 認証を得るためには、審査を通過しなければなりません。そのためには、ISMS に準拠したルール作りや管理、セキュリティ環境の構築などを行う必要があります。
ISMS はさまざまな業種に適用できる情報セキュリティマネジメントの仕組みです。ISMS に沿ったセキュリティ対策を講じることで、適切なセキュリティ環境を整えることができ、リスクの低減につながります。
また、社員に対するセキュリティ教育なども実施する必要があるため、セキュリティに対する意識が高まることもメリットです。
自治体や大手企業の発注要件をクリアできる
ISMS 認証は、国際規格である「 ISO/IEC 27001 」に準拠した認証です。 ISMS 認証を取得することで、自社のセキュリティレベルやセキュリティ対策、管理体制が国際基準に準拠していることを証明できます。
自治体や大手企業では、 ISMS 認証を取得することが発注要件となっているケースもあります。 ISMS 認証を取得することで、こうした選定基準を満たしやすくなることもメリットです。発注要件ではなくても ISMS 認証を取得することでプラスの要素となるため、受注率アップが期待できるでしょう。
ISMS 認証を取得するデメリット
ISMS 認証を取得することでさまざまなメリットがありますが、一方で以下のようなデメリットもあります。
- 費用がかかる
- ISMS 認証を取得する工数が多い
ISMS 認証を取得し、維持するには審査が必要です。初回の審査だけでなく、継続審査や再認証審査などにも一定の費用が発生します。
また、審査を受けるためには、情報セキュリティに関するルール作りや実施している施策を書面に起こすなどの作業が必要です。これらの作業の工数が多くかかることもデメリットといえるでしょう。
ISMS 認証を取得する流れ
ISMS 認証をスムーズに取得するためには、流れを把握しておくと準備などを円滑に進められます。ISMS 認証を取得するための大まかな流れは以下のとおりです。
- ISMS 認証の取得方法・適用範囲を決定する
- ISMS 文書を作成して、社員育成を行う
3.認証機関による審査を受ける
- ISMS の運用を開始する
各ステップを詳しく解説します。
ISMS 認証の取得方法・適用範囲の決定
まずは、 ISMS 認証の取得方法と適用範囲を決めましょう。 取得方法としては以下が挙げられます。
- 自社のリソースのみを使って取得する
- コンサルタントや代行会社に依頼する
- ツールを活用して取得する
また、現状の課題や環境、利用しているシステムなどを洗い出して、 ISMS の適用範囲を決定しましょう。
ISMS 文書の作成・社員育成
ISMS に取り組む上での方針や、組織として解決すべき課題、目指すべき姿などを文書化します。組織としての方針を決めるため、経営層などの参加も必要です。マネジメント方法などの管理文書と、どのようなセキュリティ対策を実施するかなどのセキュリティ文書を作成します。
また、社員の教育も必要です。情報を取り扱う社員のリテラシーを向上させるために、セキュリティ教育を実施します。
認証機関による審査
ISMS の構築を行ったら、認証機関を選んで審査を受けます。国内には 30 程度の審査機関があるため、その中から審査機関を選定して審査を受けるという流れです。
ISMS 認証の審査は、一般的に第 1 段階審査→第 2 段階審査という順で進みます。第 2 段階審査に合格することで、 ISMS 認証が得られます。
ISMSの運用
ISMS 認証の取得後は、実際に ISMS の運用を行いましょう。作成した ISMS 文書に沿って適切な情報セキュリティ管理を行います。
ISMS 認証を取得後、維持するためには 3 年に一度の更新審査に合格する必要があります。また、維持審査は毎年行われるため、審査に向けて ISMS を運用しながら準備を整えましょう。
ISMS 認証の審査の流れと基準
前述したように、 ISMS 認証の審査は第 1 段階審査と第 2 段階審査に分かれています。また、認証を維持・更新するための審査も行われるため、認証取得後にも準備が必要です。
ここでは、 ISMS 認証の審査の流れと各審査の基準を解説するので、審査を受ける際の参考にしてください。
第 1 段階審査
第 1 段階審査では、 ISMS 認証を取得する際に必要となる文書の確認、第 2 段階審査を受けるための準備が整っているかなどが審査されます。たとえば、以下のような点が審査されます。
- 情報セキュリティの方針が定まっているか
- 社内外の課題が決定しているか
- 情報セキュリティに関するリスクの特定がされているか
- 必要な情報が文書化されているか
第 1 段階審査では経営層や管理職などが参加し、セキュリティ方針や組織が把握している課題などのヒアリングも行われます。
第 2 段階審査
第 2 段階審査では、実際の現場も確認対象です。 ISMS の審査基準である「 ISO/IEC 27001 」に適合できているか、組織の中でしっかりと機能しているかどうかが審査されます。具体的には、以下の条件を満たしている必要があります。
- 「 ISO/IEC 27001 」の要求事項に沿った ISMS が構築されているか
- 組織内で定めた ISMS ルールが社内で順守されているか
認証の維持・更新
ISMS 認証の更新タイミングは3年です。認証を受けてから 3 年後に再認証審査を受ける必要があります。また、 1 年ごとに維持審査を受ける必要があるため、準備しておきましょう。
維持審査では ISMS 取得時に実現した環境が維持されているか、課題の改善が図られているかなどが審査されます。再認証審査では、 ISMS 関連文書の維持や ISMS に準拠した運用が行われているかなどが審査されます。
ISMS 認証取得までにかかる期間
ISMS 認証を取得するまでにかかる期間は、一般的に 3 ~ 4 か月程度といわれています。しかし審査の中で問題を指摘されたり、問題への対応に時間がかかったりすると、さらに多くの期間が必要となるため注意しましょう。
審査の各段階でかかる時間の目安は以下のとおりです。
- 第 1 段階審査開始から終了:約 1 か月
- 第 1 段階審査終了から第 2 段階審査開始:約 2 週間~ 1 か月
- 第 2 段階審査終了から認証取得:約 1 か月~ 2 か月
ISMS 認証取得・更新にかかるコスト
ISMS 認証の取得・更新には費用がかかります。費用は一律で決まっているわけではなく、審査機関や業種、社員数などによって異なります。また、コンサルタントに取得を依頼する場合は、依頼費用も必要です。
目安としては 50 人規模の組織の場合は審査費用として 100 万円程度、維持審査に 50 万円程度、再更新審査で 70 万円程度です。組織の規模や審査機関によって費用は大きく異なるため、 ISMS 認証取得の準備に入る前に複数の審査機関から見積もりを取って比較するとよいでしょう。
ISMS認証を取得して自社の信頼性を高めよう
ISMS 認証とは、情報セキュリティに関するリスクが適切に管理できていることを証明する認証制度です。 ISMS 認証を取得することで、顧客や取引先からの信頼性向上、セキュリティリスクの低減などのメリットが得られます。
ISMS 認証を取得するには審査が必要になるため、審査の内容や流れ、条件などを把握しておきましょう。また、 初回の審査や維持・更新審査を受ける際には費用がかかります。業種や社員数、審査機関によって費用は異なるため、複数の審査機関で見積もりを取って比較するとよいでしょう。
ISMS 認証をスムーズに取得して、自社のセキュリティ管理を徹底し信頼性を高めましょう。
