ISMSが合う企業・合わない企業ってどんな企業?

FacebookLinkedInTwitter
Share
#セキュリティ#ITコンプライアンス#コンサルティング#スタートアップ

Written by セキュリティ事業部

2022-06-28

サイバーセキュリティ

みなさん、こんにちは。スカイゲートテクノロジズのサイバー事業部です。

最近、立て続けにISMSやISMS認証取得関連の記事を記載していますが、このたび「そもそもウチってISMS認証って取得した方がいいんですかね?」と質問をいただきました。確かに、ISMS及びISMS認証が、超オールマイティかつスーパーマストなものかと言われると、そうではありません。

というわけで、今日は、「ISMSが合う企業・合わない企業ってどんな企業?」というお話です。


そもそも:ISMSとISO27001とISMS認証って何が違うの?

よく勘違いされるのでしが、ISMS=ISO27001=ISMS認証、ではありません。ここで、改めてその定義をおさらいしてみましょう。

  • ISMS = Information Security Management System

  • 情報セキュリティを適切に管理するシステムや仕組みのことを指します。

  • 厳密には、2000年に一般財団法人 日本情報経済社会推進協会(当時は財団法⼈ ⽇本情報処理開発協会)が制定した情報セキュリティマネジメントシステムの定義そのものを指します。「個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用すること。」とされています。

引用元:

ISMS

個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運...

https://www.jipdec.or.jp/library/word/csm0kn0000000c6q.html

  • ISO27001

  • 正式にはISO/IEC 27001と呼ばれる国際規格です。ISOには様々な標準規格がありますが、27000シリーズは、ISMSにおけるベストプラクティスを提供するためのものとされています。27001はISMSの要求事項が定められていますが、他にもいくつかのファミリがあります。

  • 日本国内では、ほぼ同じ内容をJIS Q 27001として国内規格として制定しました。

  • ISMS認証(ISMS適合性評価制度)

  • 俗にISMS認証と言われていますが、「ISMS適合性評価制度」における認証のことを指すことが一般的です。

  • 構築されたISMSが、ISO27001に適合しているかどうかを第三者が評価し、認証する制度のことです。

  • 2001年に一般財団法人 日本情報経済社会推進協会がスタートしたISMS適合性評価制度がベースになっています。2018年に、認定機関の独立の観点から、新たに一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が法人化され、業務を引き継いでいます。

  • 審査を行う「認証機関」、審査員に資格を与える「要員認証機関」、それぞれの機関をチェックする「認定機関」に分かれており、ISMS-ACは認定機関に該当します。

  • ISO27701に基づくプライバシー情報マネジメントシステムPIMSが導入されていることを認証するPIMS認証というものもあります。

どうでしょうか?

なんとなくイメージがついたのではないかと思います。

ISMSでカバーされる範囲

ISMSは、情報資産のセキュリティを中心としたマネジメントシステムです。情報資産、つまり、データや記録、場合によってはコンピュータやストレージのセキュリティが保たれることを目的としています。

  • 機密性:情報資産がアクセス可能な人間のみアクセスでき、その他からは保護されている

  • 可用性:情報資産が必要なときにアクセスでき、利用できる

  • 完全性:情報資産が改竄されず、常に意味ある完全な状態となっている

いまやどの会社でも情報資産、つまりデータなしに業務をすることはありませんから、ものすごく単純に言えば、ISMSでカバーされる範囲は、非常に汎用的でほとんどの企業で多くの部分をカバーできる範囲、と言って差し支えありません。

ISMSの構築や認証取得が機能するケース・しないケースは?

とはいえ、ISMSが全ての企業にマッチするかというと、そうではありません。

ISMSでは不足するケース、ISMSの構築が困難なケースなどもあります。ここでは、いくつかのケースを紹介します。

ISMSをとったほうが良いケース

  • 取引先から頻繁にセキュリティチェックを求められている

  • セキュリティチェックについてはこちらの記事もぜひご覧ください。

<セキュリティチェックの記事のBookmark>

  • 事業で多くの顧客情報やデータを取り扱っており、漏洩や事故を起こすと重大な事業ダメージになりえる

  • ISMSは有効なシステム・仕組みの1つになります。

  • 比較的低予算で信頼性の向上やCSRを達成したい

  • ISMS認証は、顧客に目に見える形で提示できるため、信頼性や社会的責任の観点でブランディングに役立ちます。

ISMSではない仕組みや認証を検討したほうが良いケース

  • クレジットカード決済でカード番号を取り扱う

  • ISMSだけでなく、PCI DSS認証が必要です

  • 個人情報を大量に取り扱う

  • PマークやPIMSなど個人情報の保護を目的とした仕組みや認証を検討してください。

  • ISMSとPIMSをセットにしたISMS+PIMS認証というものもあります。

  • クラウドサービスのセキュリティ

  • ISO27001ではなくISO27017を中心としたISMSクラウドセキュリティ認証が適しています

ISMSの導入や認証取得はマッチしないケース

  • 工場や現場などを多数抱えていて、全社で取得しようとするケース

  • 特定の事業所のみでISMS認証を取得することができますので、そちらを検討しましょう

  • スタートしたばかりの事業・会社

  • 起業当初は、ISMSの維持に必要なリソースを割くことが難しい場合があります。チームが小さい場合には無理して取得するより、個々のセキュリティリテラシー向上を図るほうが効率的な場合があります。


以上、ISMSの定義を振り返った上で、どんな企業に合うのかをざっくり記載してみました。

今回の記事を執筆するにあたり、筆者は改めてISMSの歴史を紐解いたのですが、経産省の検討資料から始まって、結構歴史ある制度であることを感じました。第三者チェックがしっかり入る日本のISMS認証制度は信頼性が高く、その結果、ISMS制度そのものの評価も日本では高いように思えます。

ISMS認証取得の効果は絶大です。弊社ではISMS認証取得や維持・更新の支援を提供しています。効率的なISMSの取得のみならず、お客様にとって本質的なリスクマネジメントと効率的な維持を実現します。

見積書は即日発行が可能です。こちら からお問い合わせください。

Follow Team Skygate

FacebookLinkedInTwitter

(C) 2020-2022 スカイゲートテクノロジズ