ここでは、企業の信頼度アップや情報セキュリティリスク低減に役立つ「ISO27001」について紹介します。ISO27001とは何かはもちろん、認証を取得するメリットなどもまとめていますので、ぜひチェックしてみてください。
ISO27001とは、ISO(国際標準化機構)が定めた「情報に関するマネジメントシステムの国際標準規格」のことです。
情報の「機密性」「安全性」「可用性」をバランス良くマネジメントし、有効活用するための組織の枠組みをつくることを目的としています。
まず機密性とは、ID・パスワード管理といった方法で、アクセス許可のある人だけが情報を閲覧できるようにすること。また「安全性」とは、電子署名の利用などによって情報の改ざんを防ぐことです。さらに「可用性」とは、アクセス権限をもつ人が必要に応じて情報を閲覧できるようにすることです。
なお、日本では、ISO27001が発行される以前は「ISMS適合性評価制度」という制度が運用されていました。
ISO27001とISMSは似ているように考えられがちです。先述した「ISO27001が発行される以前はISMS適合性評価制度が運用されていた」という点が影響しているのでしょう。
ISO27001が情報マネジメントにおける規格要求であるのに対し、ISMSは仕組みを意味しています。もっとわかりやすくいえば、情報マネジメントシステムであるISMSの構築・運用を定めた国際規格がISO27001なのです。そのため、認証の名称として使用する言葉としては「ISO27001」が適しています。
認証取得に関する相談からスタートします。見積書作成依頼書を提出すると、記載された内容に基づいて、見積書が作成されます。
「審査登録申込書」「審査登録契約書」を作成して提出してください。内容確認後、受理の連絡が入ります。必要に応じて、電話確認や現地訪問が行われることに注意が必要です。担当審査員を調整した後、審査日程について案内されます。
事前に担当審査員から審査計画が提出されます。審査は2回。ファーストステージ審査では、文書審査が中心です。マネジメントシステムの構築状況の確認とセカンドステージ審査のための情報収集が行われます。審査結果は審査最終日に報告書で通知されます。
ファーストステージ審査から1~6ヶ月後にセカンドステージ審査が行われます。セカンドステージ審査までには、「内部監査」と「マネジメントレビュー」を終了していなければいけません。セカンドステージ審査では、適用範囲のすべてを対象に、マネジメントシステムの実施状況を評価して、規格への適合性が判断されます。審査最終日に審査報告書で結果が報告されるという流れです。不適合事項が検出された場合は、所定の期限までに是正処置計画書を提出する必要があります。
審査報告書をもとに、審査判定会にて登録の可否を判定。登録可と判定した場合は登録証が発行されます。有効期限は3年間です。
本文では、ISMSを構築・運用するための基本的な要件が10章にわたって記載されています。
組織の状況は、外部・内部課題や利害関係者を特定します。「組織及びその状況の理解」「利害関係者のニーズ及び期待の理解」「情報セキュリティマネジメントシステムの適用範囲の決定」「情報セキュリティマネジメントシステム」の4項で構成されています。
リーダーシップは、「リーダーシップ及びコミットメント」「方針」「組織の役割、責任及び権限」から構成されており、トップマネジメントの責任や方針策定を行います。
計画策定の構成は、「リスク及び機会に対処する活動」「情報セキュリティ目的及びそれを達成するための計画策定」「変更の計画策定」です。リスク・機会への対応計画を行います。
また、支援は資源、教育、文書化情報の管理、運用はリスク対応策の実施、パフォーマンス評価は監視、測定、内部監査、マネジメントレビュー、改善は是正措置と継続的改善といった構成です。
附属書Aでは、本文で定められた要求事項を達成するための具体的な管理策が記載されています。2022年版では以下の4つのカテゴリに分類され、計93項目が含まれます。
これらには、情報セキュリティ方針の設定、アクセス制御、インシデント対応、事業継続計画などが含まれます。
ISO27001認証を取得するメリットには、対外的なメリットと社内的なメリットがあります。
ISO27001認証を取得するためには、さまざまな条件をクリアする必要があります。
上記の条件をすべてクリアする必要があることから、ISO27001認証を取得している企業は、「法令を順守し、情報リスクを低減させる取り組みを行っている。また、社員の情報セキュリティに対する意識も高く、業務の効率化や組織体制の強化を実現している企業」だと印象付けられるのです。
企業への信頼感や安心感が高まることから、取引先拡大のチャンスを期待できるでしょう。
ISO27001認証取得には、社内的なメリットもあります。ISO27001認証を取得するためには、従業員への定期的な情報セキュリティ教育が必須となっているため、社員の意識向上も図れるのです。
情報漏えいなどのリスクは、一人の社員に貸与した社用PCにもあります。社員一人ひとりが情報セキュリティ教育を受けることで、意識が高まり、事故防止へとつながるでしょう。
ISO27001認証取得では、定期的なリスクアセスメントの実施が求められます。リスクアセスメントは企業のもつ情報資産や業務フローをベースとしており、社内の情報セキュリティリスクをISO27001に基づいて洗い出すことが可能。
定期的にリスクを把握して対応することで、自社の情報セキュリティリスクを低減させることができるでしょう。
情報セキュリティの考え方のひとつに「可用性」があります。可用性とは、アクセス権限をもつ人がその情報にいつでもアクセスできるようにすること。可用性を確保すれば、情報にアクセスするまでに時間がかかるといったことがなく、業務効率の向上につながります。
JRCAの承認を受けた研修です。ISMS審査員を目指す方やISMS構築コンサルタントを目指している方、情報セキュリティマネージャー・システム管理者などが対象。コースを修了すると、ISMS審査員スキルの習得やISMS構築推進キーマンの養成、ISMS構築コンサルタントスキルの習得などを目指せます。
Top Out Human
Capitalの研修の
特徴や受講者の声を見る
オンラインかつ1日間の受講でOKという、利便性の高いコース。初めて情報セキュリティについて学習する方でも基礎から学べます。情報セキュリティリスクについて学び、リスクに対する組織方法論としてのISMSの仕組みのほか、実際の情報セキュリティ事故についても理解することができます。
経産省の資料では、サイバーセキュリティに関する組織体制において、IT、デジタル部門の開発、運営者・事業部門などの「実務者・技術者層」、セキュリティ部門・監査部門などの「戦略マネジメント層」、取締役・執行役員などの「経営層」、の3つに分類され、必要なスキルや具体的にやるべきこと(タスク)が定義されています。
該当の対象者に向けた研修を展開しているおすすめの会社を合わせて見られるようにしているので、検討している受講者の欄からご覧ください。
CompTIA CASP+やCySA+など上位資格を学べる研修ラインナップ。CompTIAプラチナパートナーとして上位資格を一気通貫で学べる国内数少ない会社です。
実務や技術者が仮想空間で手を動かしながら実践的にスキルを習得できる点が特徴です。
CompTIA(Pentest+、CASP+、CySA+他)、EC-Council(CEH、CCT他)、ICT(OT)、SecuriST、インシデント対応、ペネトレーションテスト、フォレンジック など
セキュリティ事故などインシデント対応者に必要な知識を学べる専用プログラムが特徴。
基礎的な知識から、デジタルフォレンジックやマルウェア解析など専門技術を内製できる企業向けにもコースを展開しています。
インシデントレスポンス、マルウェア解析、セキュリティオペレーション、デジタルフォレンジック、脆弱性ハンドリング、情報セキュリティ事故対応 など
企業のリスクマネジメントを支援するコンサルティング業務を主軸としており、企業経営の推進力を高めるリスクマネジメント力が身に着く研修を提供しています。
経営層向けだけで3段階のコースを展開し、着実なステップアップができます。
経営層向けサイバーセキュリティ対応能力向上、CSIRT構築、情報セキュリティ入門、組織サイバーレジリエンス力向上 など
