この記事をご覧いただいた方は、こんなお悩みや疑問を抱えていませんか?
「ISMSって、一体なに?」「ISMS認証を取得することのメリットとは?」「ISMSとPマークの違いとは?」など、ISMSの構築に初めて取り組む方は分からないことだらけかと思います。
そこで本記事では、ISMSとは何か、分かりそうでわからない用語の違いやISMSとPマークの取得を迷った時の検討ポイントについて解説します。
目次
- ISMSとは?
- なぜISMSが必要なのか?
- 情報セキュリティの3要素
- 「ISO/IEC 27001」「JIS Q 27001」とは?
- 「ISMS」と「ISO 27001」の違い
- ISMS認証を取得するメリットとは?
- ISMSとPマークの違い
- ISMSとPマーク、どちらを取得した方がいいの?
- まとめ
ISMSとは「Information Security Management System(情報セキュリティマネジメント)」の略称で、情報セキュリティのリスクを把握し、企業が適切に管理・運用する仕組みです。
つまり、組織がもつ情報の外部流出を防ぐとともに、利用しやすい状態で情報を保護するための
仕組みとなっています。
社内の情報を守るためには、社員一人ひとりが心がけるだけでも、一部の専門家だけが理解しているだけの状態でも意味はありません。
組織として情報を適切に管理できる体制を構築する必要があり、そのための仕組みがISMSなのです。
マネジメントシステム認証機関の能力を判定する機関。認証機関が国際規格の要求事項に従って
審査する能力を持ち、公平な審査がされていることを証明します。
ITシステムやネットワーク技術が発展し、社会インフラとして必要不可欠なものとなっている一方で、標準型攻撃やランサムウェアなどによる被害・影響が多発しているのも事実です。
そこで、これらの脅威に対して適切にリスクアセスメントを実施し、企業における総合的な
情報セキュリティを確保するためにISMSの構築・運用が必要となっています。
自社内の情報資産やリスクを適切に管理することで、情報資産の「気密性」「完全性」「可用性」を
維持し、利害関係者に対して信頼を与えることがISMSの役割なのです。
機密性
「情報資産を利用してはいけない人が利用できない状態」
つまり、許可された人しかアクセス・利用ができない状態です。
アクセス制御やパスワードによって秘密を守ることで、気密性を確保できます。
パスワードを知らないフォルダに格納する等
完全性
「情報資産が改ざんや削除されない状態」
情報が正確であり、改ざんされていない状態になっているです。
重要なデータが失われないようにバックアップをしたり、データの改ざんを防ぐ対策を行うことで完全性を確保します。
可用性
「情報資産を利用すべき人が速やかに利用できる状態」
許可されたものが、必要な時に情報にアクセスでき、利用できる状態になっていること。
情報を提供するシステムが停止しないよう冗長化することなどが、可用性の確保に繋がります。
例:過去の請求書は削除せずに保持し、主な保管場所以外の場所に、定期的なバックアップを取得する等
そのため、ここで重要になってくるのが可用性なのです。ISMSでは、この3つの要素をバランスよく維持することが求められます。
「ISO/IEC 27001」「JIS Q 27001」=ISMSの要求事項を定めた規格のことを指します。
ISMSは組織で情報セキュリティを管理していく仕組みであるとお話しましたが、内容は組織によって異なります。
ISMSを構築・運用する際の基準として設けられたのが、下記の国際規格となります。
ISO(国際標準化機構)とIEC(国際電気標準会議)が合同で策定した規格
◆JIS Q 27001
ISO/IEC 27001をベースに策定された国内向けの規格
「ISO/IEC 27001」と「JIS Q 27001」は表記が異なるだけで、内容に大きな違いはありません。
ここまでの流れで既に理解されている方も多いかと思いますが、改めて確認しておきましょう。
「ISMS」と「JIS Q 27001」の違いは、下記の通りです。
◆ISMS
組織が取扱うデータや情報などを、適切に管理・保全するための仕組み
◆JIS Q 27001
ISMSを実現するための国際規格
ISMSは情報セキュリティに関する概念であり、
ISO 27001はISMSを実現するための要求事項(=具体的条件・ルール)ということになります。
つまり、ISMS認証を得るにはISO 27001に記載されている要求事項を満たさなければならないということになります。
ISMS認証の取得はセキュリティ体制が整備されている証明になるため、取引先や顧客の信頼に
繋がります。
主に3つのメリットが挙げられます。
情報セキュリティレベルの向上
ISMSを構築し、審査に合格してISMS認証を取得することは企業の情報セキュリティレベルを向上させることに繋がります。情報漏えいのような事故の発生確率や事故発生時の影響を最小限に抑える
ことができます。
また、組織のセキュリティレベルを向上させることで、組織全体のセキュリティに対する意識を
高めることができます。
ブランドイメージの向上
「情報=企業が守らなければならない重要な資産の1つ」と考えて、セキュリティソフトなどを導入してウイルス対策を行い、ISMS認証ももちろん取得している。という、セキュリティに対する姿勢を表すことのできる手段でもあります。
セキュリティ対策は目に見えるものではないからこそ、ISMS認証の取得の有無でセキュリティ対策への態度を垣間みることができ、企業のイメージを大きく左右するものとなります。
自治体や大手企業案件の受注率の向上
国際規格である「ISO/IEC27001」に基づいたISMS認証を取得することで、自社セキュリティ管理体制が国際基準に準拠していることを示すことができます。顧客や取引先に対して、セキュリティ強化に取り組んでいることがアピールに繋がるのです。
特に、国・自治体や大手企業などの場合は、取引先の選定基準にISMS取得が条件となっている場合や加点ポイントになっているケースもあります。そのため、ISMS認証を取得していることで、
自治体や大手企業案件の受注率を高めることにも繋がります。
ISMSと混同されがちなものにPマーク(プライバシーマーク)があります。
この二つは似ているようで、実は下記のように思想が大きく異なります。
個人情報の持ち主のプライバシー権を保護する
➡「顧客の情報を守る」
◆ISMS
組織が保有する情報資産について、どんなリスクがあるかを認識して軽減する
➡自社を守るためのリスク管理
ISMSの対象が企業全体または一部の組織で所有する情報全般であり、Pマークの対象は企業全体で所有する個人情報です。ISMSは事業所や部署単位での認証も可能です。
大手企業や官公庁との取引がある場合は、両方取得するのがベストです。ISMSは広く浅くあらゆる情報資産に関するセキュリティ対策が審査される一方、Pマークは個人情報に絞って狭く深く審査されます。
それぞれ守るべき領域に濃淡があるため、大手や官公庁との取引がある場合は両方取得しておいた方が安心ということになります。
しかし、大手や官公庁などとの取引が無い場合は要検討です。
例えば、B to Cで一般顧客との取引が多い場合はPマーク、B to Bで事業をおこなうIT系企業であればISMSなどのように、取得すべきものの優先順位が異なってきます。
自社の事業の特性を踏まえて、検討しましょう。
今回はISMSの基礎~Pマークとの違い、どちらを取得すべきかについて解説をしてきました。
取得するにあたっての、検討ポイントもご理解いただけたかと思います。
いずれにおいても、認証取得していることで自社が適切な情報管理を実施していることのアピール
となり、多くの企業が取得している効果的な認証制度です。
この機会に、本格的な体制構築を目指してみてはいかがでしょうか。
株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
Pマーク取得のご支援・ご相談も承っておりますので、ぜひ一度お気軽にご相談ください。
→お問い合わせはこちらから
この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。