News
【共催ウェビナー】拡大するトランジションファイナンスの潮流~日本市場における信頼性確保~(4月20日)
AdobeStock_286399156.jpeg
ISO/IEC 27001
(情報セキュリティ)
電子帳簿保存法の改正など日常業務の多くが電子化するとともに管理データが増加し、情報セキュリティインシデントが発生すれば、その影響はさらに深刻化する状況となっています。また、サイバー攻撃は最先端の技術が駆使されており、その手法は複雑で巧妙なものとなり、情報の取り扱いは組織の規模に関係なく、深い注意、対策が求められています。
IT機器の利用シーンもさらに多様化するとともに日常業務での利用も拡大し、これまでのパソコンをはじめ、さまざまな新しいIT機器の活用が不可欠となってきています。
組織では経営者が自覚をもって関与し、これらのリスクを正確に評価し、適切なリスクマネジメントシステムを構築することが必須といえるでしょう。
ISO/IEC 27001(ISMS)とは
ISO/IEC 27001(ISMS)は、組織が保護すべき情報資産について、個別の問題ごとの技術対策の他に、組織のマネジメントとして「機密性」・「完全性」・「可用性」の視点からリスクアセスメントを実施して必要なセキュリティレベルを決め、維持して改善する情報セキュリティに関するマネジメントシステムです。
- 機密性:認可されていない個人、エンティティ(実体)またはプロセスに対して、情報を使用させず、または開示しない特性
- 完全性:正確さおよび完全さの特性
- 可用性:認可されたエンティティ(実体)が要求したときに、アクセスおよび使用が可能である特性
この規格はISO MSS共通テキストを適用して2022年10月に改定され、リスクマネジメントはISO31000(リスクマネジメント・原則および指針)に整合しています。
関連記事:
製造業のISMSは「止めない力」を設計する~可用性を軸にしたアプローチの提案~
ISO/IEC 27001の要求事項一覧
| 1. 適用範囲 | • 組織の情報セキュリティマネジメントシステム(ISMS)の確立、導入、維持、継続的改善 • 情報セキュリティリスクのアセスメントと処理 | |
| 2. 規範的参照文書 | • 関連する国際標準規格の参照 • ISO/IEC 27002との整合性 | |
| 3. 用語と定義 | • 情報セキュリティに関する標準的な用語の定義 | |
| 4. 組織の状況 | 4.1 組織及びその状況の理解 | • 組織の内部及び外部の課題の特定 • 利害関係者のニーズと期待の理解 |
| 4.2 情報セキュリティマネジメントシステムの適用範囲の決定 | • ISMSの適用範囲の明確化 • 適用範囲の文書化 | |
| 4.3 情報セキュリティマネジメントシステム | • ISMSの確立、導入、維持、継続的改善 | |
| 5. リーダーシップ | 5.1 リーダーシップ及びコミットメント | • トップマネジメントの責任 • 情報セキュリティポリシーの確立 |
| 5.2 方針 | • 情報セキュリティ方針の策定 • 組織の目的との整合性 | |
| 5.3 組織の役割、責任及び権限 | • 情報セキュリティに関する責任の割り当て • 役割と責任の明確化 | |
| 6. 計画 | 6.1 リスク及び機会への取り組み | • リスクアセスメントの実施 • リスク対応の計画 |
| 6.2 情報セキュリティ目的及びそれを達成するための計画 | • 測定可能な情報セキュリティ目的の設定 • 目的達成のための行動計画 | |
| 7. 支援 | 7.1 資源 | • 人的、技術的、財務的資源の提供 |
| 7.2 力量 | • 情報セキュリティに必要な力量の特定 • 教育・訓練の実施 | |
| 7.3 認識 | • 情報セキュリティ方針と関連する要求事項の理解 • セキュリティ意識向上トレーニング | |
| 7.4 コミュニケーション | • 内部及び外部のコミュニケーション計画 | |
| 7.5 文書化した情報 | • 文書管理 • 記録の管理 | |
| 8. 運用 | 8.1 運用の計画及び管理 | • リスク対応計画の実施 • セキュリティ管理策の導入 |
| 8.2 情報セキュリティリスクアセスメント | • リスク特定 • リスク分析 • リスク評価 | |
| 8.3 情報セキュリティリスク対応 | • リスク対応方針の決定 • リスク軽減策の実施 | |
| 9. パフォーマンス評価 | 9.1 監視、測定、分析及び評価 | • 情報セキュリティ目的の達成度評価 • ISMSの有効性の測定 |
| 9.2 内部監査 | • 定期的な内部監査の実施 • 監査結果の報告 | |
| 9.3 マネジメントレビュー | • トップマネジメントによるISMSの定期的なレビュー • 継続的改善の検討 | |
| 10. 改善 | 10.1 不適合及び是正処置 | • 不適合の特定と是正 • 再発防止策の実施 |
| 10.2 継続的改善 | • ISMSの継続的な改善 • パフォーマンスの向上 | |
ISO/IEC 27001を取得すべき理由
- デジタル環境の変化への対応
情報セキュリティを取り巻く環境は日々変化し、組織の情報資産を守るためには、単なる技術的対策では不十分となっています。ISO/IEC 27001は、これらの課題に対して包括的なアプローチを提供します。 - リスクマネジメントの進化
組織のリスクは複雑化し、経営者には戦略的な視点からリスクを評価し、適切な対策を講じることが求められています。ISO/IEC 27001は、組織全体のセキュリティ意識を向上させ、リスクに対する総合的な対応を可能にします。 - 持続的な情報セキュリティ戦略
ISO/IEC 27001は、単に現在のリスクに対応するだけでなく、組織の継続的な改善を支援します。情報セキュリティマネジメントシステムを構築することで、変化する脅威に対して柔軟かつ迅速に対応できる体制を整えることができます。
組織にとってのメリット
- 情報セキュリティの信頼性確保
リスクマネジメントプロセスを採用することによって情報の機密性・完全性・可用性を保護し、かつリスクを適切に管理しているという信頼を利害関係者に与えることができます。 - 法的・経営的コンプライアンスの強化
会社法、金融商品取引法、不正競争防止法など、法律、法令、規制、契約上の要求事項に対するコンプライアンスを向上させ、経営上のリスクマネジメントに適応可能です。 - 戦略的リスク投資の最適化
情報セキュリティリスクアセスメントを適用することにより、リスク対応すべき領域に対し選択と集中という適切な投資を導くことが可能となります。 - 組織全体のセキュリティ意識向上
社員のセキュリティ意識を向上させます。ISMS構築で社員全員にセキュリティへの意識向上をもたらし、結果としてビジネスリスクを最小限に抑えます。 - 統合的リスクマネジメントの実現
共通テキストにより、品質、環境マネジメントシステムなど、他のリスクマネジメントとの統合運用を可能にします。
ビューローベリタスが選ばれる理由
- ネットワーク
140ヶ国1,600の拠点
ビューローベリタス各国が持つノウハウを共有
お客様が展開する国内外の事業ネットワークをカバー - 認証実績
約150,000社の企業に対する認証実績 - ワンストップ審査
各規格の審査の一貫性、最適化、効率化を実現
認証取得にかかる費用
ISO/IEC 27001認証取得にかかる費用は、企業規模や業種、認証範囲によって変動しますが、概算として登録審査費用約50万円からになります。
詳しくはお問い合わせください。
認証取得までの流れ
審査プロセスは以下のとおりです。
- お問い合わせ
- ご相談
- お見積提出
- ご契約
- 予備審査(オプション)
- 初期審査(第1段階審査)
- 本審査(第2段階審査)
- 認証書発行
- 維持審査
- 再認証審査:3年後の再認証
経験豊富な営業担当が、多種多様のご要望に応じたご提案をさせていただきます。
ISO認証取得の流れ(ISO認証取得決定~再認証審査まで)
ISO認証取得決定から再認証審査までの流れをより詳しくご確認いただけます。
契約・認証内容変更届
お客様専用ページにてログインし、ダウンロードいただきますようお願いします。
よくある質問
| Q: | 個人情報保護に関する規格(Pマーク:JISQ15001)とISO/IEC 27001との違いは何ですか。 |
|---|---|
| A: | JISQ 15001が個人情報のみを対象としているのに対してISO/IEC 27001は個人情報のみならず、知的財産・記録・営業ノウハウ情報システムといった組織の情報資産全般および管理プロセスについて対象部門・業務を明確に定めたうえで包括的にリスク対応を図ることができる規格です。 |
| Q: | 契約から認証取得まで、どのくらいの期間がかかりますか。 |
| A: | 組織側の体制や準備の状況にもよりますが、一般的に約6~14カ月程度かかります。 ・準備段階:3~6カ月 ・導入・運用段階:3~6カ月 ・認証審査:1~2ヶ月 |
| Q: | 情報セキュリティに関する認証サービスにはどのようなものがありますか。 |
| A: | ISO/IEC 27001(情報セキュリティ)のほかに、以下のような認証サービスを提供しています。 ・ISO/IEC 27017(クラウドセキュリティ) ・ISO/IEC 27018(クラウド上の個人データ保護) ・ISO/IEC 27701(プライバシー情報) ・ISO/IEC 42001(人工知能) ・TISAX®(自動車業界における情報セキュリティ管理) |
| Q: | 内部監査員にはどのような人を選出すべきでしょうか。 |
| A: | 以下のような方が望ましいです。 ・情報セキュリティの専門知識を持つ ・監査対象部署から独立している ・優れたコミュニケーション能力 ・組織プロセスを深く理解している ・継続的に学習する意欲がある ビューローベリタスでは、内部監査員養成のためのトレーニングコースがございます。 その他無料セミナーも随時開催しておりますので、ご利用ください。 |
事例紹介
- ULTRA SOCIAL株式会社
- 株式会社WiseVine
- ATTO株式会社
- LocationMind株式会社
- 合同会社レッドボックス
- MKTインターナショナル株式会社
- 新日本コーポレーション株式会社
消防設備点検の標準化と安全性の向上を目指して、防災業界初、4種のISOを取得(インタビュー記事) - 株式会社ラバブルマーケティンググループ
- 一般社団法人情報セキュリティスタンダード沖縄協議会
既存の認証規格をベースに中小企業のための情報セキュリティ認証を開発(インタビュー記事)
