ISMS
(情報セキュリティマネジメントシステム)とは?
構築時のポイントや認証取得などを
分かりやすく解説!

おすすめ資料を無料でダウンロードできます
個人情報に関する研修資料
この記事のまとめ

ISMS情報セキュリティマネジメントシステム)」とは、企業などの組織における情報セキュリティを管理するための枠組みです。高度な情報化社会となった現代では、各企業においてISMSを適切に構築・運用することが求められます。

ISMSについては、国際規格(ISO規格)である「ISO/IEC 27001」と、ISO規格に準じて日本国内向けに策定された標準規格(JIS規格)の「JIS Q27001」が存在します。
各企業におけるISMSは、これらのISO規格またはJIS規格の要求事項を満たすように構築・運用することが肝要です。

ISMSについては、日本国内の認証機関において「ISMS認証」を受けることができます。情報セキュリティに関する社会的な信頼を高めたいと考えている企業は、ISMS認証の取得を検討しましょう。

この記事ではISMSについて、構築時のポイントやISMS認証のメリット・手続き・費用などを解説します。

ヒー

セキュリティ部門からISMSの認証取得を進めたいという話が上がっています。セキュリティポリシーやプライバシーポリシーなどにも関係するのでしょうか?

ムートン

ISMSは情報セキュリティを管理するための枠組みで、規程だけでなく実際の運用なども審査されます。メリットや手続きも確認していきましょう!

※この記事は、2024年6月18日に執筆され、同時点の法令等に基づいています。

ISMS(情報セキュリティマネジメントシステム)とは

ISMS情報セキュリティマネジメントシステム)」とは、企業などの組織における情報セキュリティ管理するための枠組みです。高度な情報化社会となった現代では、各企業においてISMSを適切に構築・運用することが求められます。

ISMSの目的

ISMSの目的は、企業が保有する情報資産を漏洩などのリスクから保護しつつ、適切に有効活用できる仕組みを整えることです。

現代では、企業経営において情報の重要性が非常に高くなっています。
機密情報の漏洩は企業にとって致命的であるため、情報セキュリティを強化することはとても大切です。その一方で、情報を活用して経営に役立てることも、企業の競争力を高める観点から重要といえます。

ISMSは、保護と活用の両面から情報管理の適正化を図るための仕組みです。

ISMSに関するISO規格・JIS規格

ISMSに関しては、国際標準化機構ISO)による「ISO/IEC 27001」が設けられています。
また日本では、ISO/IEC 27001を踏まえて、日本産業規格(JIS規格)である「JIS Q 27001」が設けられています。

各企業においては、ISO/IEC27001またはJIS Q 27001に基づいて、ISMSを適切に構築することが推奨されます。また、各規格の認証を受けるためには、対応する要求事項を満たしたISMSの構築が必須となります。

ISO/IEC 27001によるISMSの要求事項

ISO/IEC27001には、ISMSに関して各企業が満たすべき要求事項が定められています。要求事項がまとめられた規格書は、一般財団法人日本規格協会の販売サイトにおいて購入可能です。

参考:一般財団法人日本規格協会ウェブサイト「JSA GROUP Webdesk」

本記事では、主な要求事項の項目のみ紹介します。

ISMSの主な要求事項

4.組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム

5.リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限
5.3.1 推進組織
5.3.2 権限と役割

6.計画策定
6.1 リスク及び機会に対処する活動
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報資産の洗い出し
6.1.4 情報資産台帳の作成
6.1.5 リスクの特定
6.1.6 リスクの分析及び評価
6.1.7 リスク対応の選択
6.1.8 管理策の選択
6.1.9 適用宣言書の作成
6.1.10 リスク対応計画の作成
6.1.11 リスク対応計画及び残留リスクの承認
6.2 情報セキュリティ目的及びそれを達成するための計画策定
6.3 変更の計画策定

7.支援
7.1 資源
7.2 力量(教育訓練)
7.2.1 要求される力量
7.2.2 教育訓練計画
7.2.3 実施した教育訓練の評価
7.2.4 教育訓練記録の保持
7.3 認識
7.4 コミュニケーション
7.4.1 内部コミュニケーション
7.4.2 外部コミュニケーション
7.5 文書化した情報
7.5.1 一般
7.5.2 作成及び更新(改訂)
7.5.3 文書化した情報の管理

8.運用
8.1 運用の計画策定及び管理
8.2 情報セキュリティリスクアセスメント
8.3 情報セキュリティリスク対応

9.パフォーマンス評価
9.1 監視、測定、分析及び評価
9.1.1 社員による点検
9.1.2 管理策の有効性測定
9.1.3 ISMS の有効性測定
9.2 内部監査
9.2.1 内部監査の目的
9.2.2 内部監査プログラム
9.2.3 内部監査員の選定
9.2.4 内部監査の手順
9.3 マネジメントレビュー
9.3.1 マネジメントレビューの実施
9.3.2 マネジメントレビューのインプット
9.3.3 マネジメントレビューのアウトプット
9.3.4 マネジメントレビューの記録

10.改善
10.1 継続的改善
10.2 不適合及び是正処置

企業がISMSを構築する際のポイント

企業がISMSを構築するに当たっては、特に以下の2点を意識することが大切です。

① 「情報セキュリティの3要素」を意識する
② PDCAサイクルを通じた運用・改善を行う

「情報セキュリティの3要素」を意識する|機密性・完全性・可用性

ISO/IEC27001およびJIS Q 27001では、情報セキュリティの重要な要素として、機密性Confidentiality)」「完全性Integrity)」「可用性Availability)」の3つを挙げています。

情報セキュリティの3要素
(a) 機密性(Confidentiality)
情報へのアクセスを認められていない者に対して、その情報を使用不可または非公開とすることをいいます。
 
(b) 完全性(Integrity)
情報が正確であり、かつ完全である状態を保持することをいいます。
 
(c) 可用性(Availability)
情報へのアクセスが認められた者が要求したときに、その情報へスムーズにアクセスして使用できることをいいます。

企業がISMSを構築するに当たっては、上記の情報セキュリティの3要素を実現できるように、社内のルールやシステムなどを設計することが大切です。

PDCAサイクルを通じた運用・改善を行う

ISMSは、PDCAサイクルによって適切に運用し、継続的に改善することが求められます。「PDCA」サイクルは、以下の4つのプロセスによって構成されます。

(a) 計画(Plan)
情報漏洩などに関するリスクを適切に分析した上で、そのリスクの顕在化予防・対処に関する目標を設定し、目標達成に向けた実行計画を策定することが求められます。

(b) 実行(Do)
事前に策定した計画に基づき、ISMSを運用します。組織はISMSの運用に必要な資金・物資・人材などの資源を提供し、担当者はそれぞれ責任をもってISMSの運用業務を行います。
ISMSの実行内容については、文書に記録して保存することが求められます。後の評価・改善のプロセスにおいて役立てるためです。

(c) 評価(Check)
ISMSの実行によって得られたパフォーマンス(効果)につき、監視・測定・分析・評価を行います。評価の方法や結果については、文書に記録して保存することが求められます。

なおISO/IEC27001およびJIS Q 27001では、ISMSが要求事項を満たしているかどうかチェックするため、定期的に内部監査を実施することを要求しています。
特に一定規模以上の企業においては、ISMSに関する内部監査の実施が推奨されます。

さらにISO/IEC27001およびJIS Q 27001では、トップマネジメントによる定期的なISMSのレビューも求めています。
企業経営において経営陣が担う役割に鑑みると、ISMSを構築しようとする企業では、マネジメントレビューの重要性は高いといえるでしょう。

(d) 改善(Act)
ISMSに関して不適合が発生したときは、その不適合を管理・修正するための処置をとるともに、不適合によって起こった結果へ適切に対処しなければなりません。
また、不適合をレビューしてその原因を明確化し、再発防止措置を講じることも求められます。

また、評価プロセスによって得られた結果に基づき、ISMSを継続的に改善することも大切です。

ISMS認証について

ISMSについては、ISO認証の一つである「ISMS認証」を受けることにより、対外的にその適切性・妥当性・有効性をアピールできます。

日本国内では、公益財団法人日本適合性認定協会(JAB)一般社団法人情報マネジメントシステム認定センター(ISMS-AC)の認定を受けた認証機関が、ISMS認証の審査を行っています。

マネジメントシステム認証機関は、以下のウェブサイトより検索可能です。

参考:
公益財団法人日本適合性認定協会ウェブサイト「認定されたマネジメントシステム認証機関」
一般社団法人情報マネジメントシステム認定センターウェブサイト「ISMS認証機関一覧」

ISMS認証とプライバシーマーク(Pマーク)の違い

情報管理に関する認証制度としては、ISMS認証のほかに「プライバシーマークPマーク)」が挙げられます。
プライバシーマーク」は、個人情報を適切に管理していると評価された事業者に対して付与されるマークです。

ISMS認証は、個人情報に限らず、事業者が保有する幅広い秘密情報を対象としています。
情報漏洩などの防止を中心とするセキュリティ面だけでなく、情報活用の面についても審査が行われます。
ISMS認証が準拠する標準規格は、国際標準規格である「ISO/IEC27001」です。

これに対してプライバシーマークは、個人情報のセキュリティ面に焦点を当てた認証制度となっています。ISMS認証とは異なり、日本国内の標準規格である「JIS Q 15001」(個人情報保護)に準拠した審査が行われています。

参考:日本情報経済社会推進協会ウェブサイト「プライバシーマーク制度」

ISMS認証を取得するメリット

ISMS認証を取得するメリットは、ISMSの適切性・妥当性・有効性を対外的にアピールできることです。
会社組織の盤石さが伝わるとともに、情報漏洩などのリスクに関する懸念を払拭でき、企業としての信頼性の向上につながるでしょう。

ISMS認証を取得・維持するための手続き・審査

ISMS認証取得するためには、マネジメントシステム認証機関の審査を経て登録を受ける必要があります。また、登録後も定期審査および更新検査を受けなければなりません。

参考:一般財団法人日本品質保証機構ウェブサイト「認証取得・維持の流れ」

ISMS認証を取得するための手続き・審査

ISMS認証を取得するための手続き審査の流れは、以下のとおりです。

ISMS認証を取得するための手続き・審査

① 事前相談・見積もり
マネジメントシステム認証機関に対してISMS認証の取得希望を伝え、費用の見積もりを依頼します。

② 契約
マネジメントシステム認証機関に対して申込書を提出し、審査登録に関する契約を締結します。
契約締結後、マネジメントシステム認証機関との間で、具体的な審査の日程を調整します。

③ 登録審査(ファーストステージ審査)
ISMSの構築状況の確認や、セカンドステージ審査のための情報収集が行われます。文書審査が中心です。
ファーストステージ審査の最終日において、審査報告書によって結果が通知されます。

④ 登録審査(セカンドステージ審査)
ファーストステージ審査の1カ月から6カ月後に、本審査として行われます。ISMSの実施状況を具体的に評価し、ISO規格に適合しているかどうかが審査されます。

セカンドステージ審査の最終日において、審査報告書によって通知されます。ISO規格に適合していない事項が検出された場合は、所定の期限までに是正処置計画書を提出しなければなりません。

⑤ 登録証の発行
各ステージの審査報告書を基に、審査判定会が登録の可否を判定します。登録が認められた場合は、3年間有効の登録証が発行されます。

ISMS認証を維持するための手続き・審査

ISMS認証を維持するためには、登録完了の約1年後・2年後に行われる定期審査と、登録完了の約3年後に行われる更新審査に合格しなければなりません。

ISMS認証を取得するための手続き・審査

① 定期審査
ISMSが継続してISO規格に適合しているかどうかがチェックされます。審査の対象は、前回の審査(登録時審査・定期審査・更新審査)から1年間におけるISMSの運用状況です。

② 更新審査
前回の登録時審査または更新審査の後3年間におけるISMSの運用状況について、継続してISO規格に適合しているかどうかがチェックされます。
更新審査に合格すると、新たに3年間有効な登録証が発行されます。

ヒー

ISMS認証を維持するためには毎年審査を受ける必要があるわけですね。

ムートン

なお、2段階(ファーストステージ審査・セカンドステージ審査)で行われる登録時審査とは異なり、定期審査および更新審査は1段階のみで行われます。

ISMS認証の取得・維持にかかる費用

ISMS認証に関する審査費用は、業種・業態、人数と規模、設計開発業務の有無などに応じて個別に決定されます。30名程度の中小企業では、下表の程度の審査費用が必要になるのが標準的です。

ファーストステージ審査・セカンドステージ審査計70万円~90万円程度
定期審査1回当たり20万円~35万円程度
更新審査50万円~60万円程度

また、上記の審査費用に加えて、認証取得に関する外部コンサルタントに依頼する場合は依頼費用が発生します。
さらに、ISMSがISO規格の要求事項に適合した状態を維持するためには、運用に携わる担当者の人件費や、情報セキュリティシステムの保守費用なども必要になる点に留意しておきましょう。

ムートン

最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!

おすすめ資料を無料でダウンロードできます
個人情報に関する研修資料