ISO27001とISMS認証の違いとは？　わかりやすく簡単に解説する

2021年7月13日

こんにちは。

ISOコム　マネジメントコンサルタントの加藤　政夫です。

今日は「ISO27001とISMSの違いとは？　わかりやすく簡単に解説する」をお話してみたいと思います。

当社のISOコンサル実績はこちら

ISMSとは

ISMSは、Information Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムといいます。

会社などの組織において、使っている業務情報や個人情報などの情報資産（つまりは「データ」ですね。紙書類だけでなく、音声、動画を含めて、パソコンのSSDやHDD、USBメモリやSDカードなどに保存されているデータ及び情報すべてが情報資産になります）を、

いろいろな脅威から守るための組織としての取組みをいいます。

例えば、みなさんの提供しているサービスを使うための、ユーザIDと仮パスワードをメールで利用者にメールで通知することを想定してみます。

もし、メールの宛先を間違えてしまったら、他の人にサービスを使われてしまい、大変なことになります。

もし、サービスを使っていて、他のユーザの情報が見えてしまったら、それも大問題ですよね。

このように、情報資産を扱っている限り、いろいろな脅威（人為的なものやシステム的なものなど）があります。

これらの脅威に対して情報資産を守る体系的な仕掛けが、組織として必要になってきます。

それを、ISMSと捉えていただきたいと思います。

ISO27001とは？

ISO（International Organization for Standardization：国際標準化機構）では、組織における取組みを標準化するために、マネジメントシステム規格(MSS Management System Standard)として、規格化しています。

ISMS以外にも、QMS（品質マネジメントシステム）、EMS（環境マネジメントシステム）などがあります。

その中で、ISO27001（正確には、ISO/IEC27001）は、「情報技術−セキュリティ技術− 情報セキュリティマネジメントシステム−要求事項 （Information technology-Security techniques- Information security management systems-Requirements）」となっています。

日本語の読み方としては「アイエスオーニマンナナセンイチ」です。

言い換えますと、「ISMS（情報セキュリティマネジメントシステム）を実施する上では、ISO27001に規定されて要求事項を満たしていなければなりません。」です。

わかりやすく簡単に言えば、「ISO27001で書かれている“やらなければならないこと”ができていないとISMSをやっていることになりませんよ」です。

ISO27001はあくまで設計図、「組織内の行動をルール化すること」がISMS

ISO27001には、要求事項しか書かれていません。

規格を見たからといって、組織でのISMSを実施することはできません。

やらなければならないことを、自分たちの組織でやるには、どのように実施するのか検討して、やり方を手順書等でまとめなければなりません。

この部分を埋めてこそ、初めてISMSの運用ができるようになります。

しかしながら、ISO27001だけからどうやるのかを導き出すのは大変です。

従って、いろいろな書籍や研修等で見いだすことも必要になります。

これらの知識をもったコンサルタントに依頼すれば、標準的なテンプレートを自組織用にモディファイ（修正を加えて良くすること）することで、省力化することができます。

ISO27001のポイントとは？

<1>マネジメントシステム規格(MSS Management System Standard)
ISO27001もマネジメントシステム規格ですので、PDCA（計画⇒実行⇒評価⇒改善活動）サイクルの考え方が基本となっています。

年度初めに計画を立て、それを実行して、年度末に評価して、次年度に役立てるといった活動を、情報セキュリティについても実施することが求められます。

通常の業務でも実施していることと思いますので、同じような考え方で取組めば良いことになっています。

<2>情報セキュリティリスクアセスメント

ISO27001の中での一番のハードルが情報セキュリティリスクアセスメントになります。

情報資産に対して、守るべき観点として、以下の3つを挙げています。

・機密性 (Confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること

・完全性 (Integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること

・可用性 (Availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること

これらが損なわれるような脅威を想定し、そのリスクに対する対応をすることが求められます。

自分たちの情報資産に対して、どのようなリスクがあるのかを考えて、優先度をつけて、重要なものから対応することが必要です。

これにはいろいろなやり方があり、皆さんどのようなやり方をすれば良いのか迷われるかもしれませんが、本来の目的は、優先度の高いリスクを見逃すことなく適切な対応をすることです。

最初から、ベストなやり方は見つかりませんので、ベターなやり方で始めて、徐々に改善していく位で良いと思います。

<3>管理策

上記のリスクに対応するための、対応策として標準的なものが規格のなかで、管理策としてリストアップされています。

114項目もあり、圧倒されることもあるかもしれませんが、大部分はもう既にみなさんが実施している項目であり、実施していなくても、本来ならやらなくてはならない項目となっています。

ただし、業務としてみた時に、関係ない項目も場合によってはあります。

例えば、システムの開発業務をしていないのであれば、それに関わる管理策は適用しなくてよいことになっています。

規格上は、管理策についても、どのように実施すれば良いのかは記載されていませんので、自分たちの実態に合った手順を決めなければなりません。

ISMSに取り組むには、まずISO27001を取得しましょう！

最後までご覧いただき、ありがとうございます。

ISO27001とISMSの違いを意識され、ISMSの構築、運用に興味を持たれましたでしょうか。

適当にISMSの構築、運用してしまうと、せっかく労力をかけ、時間をかけて作った仕組みが上手く機能せず、貴重な情報資産を漏洩したり、壊してしまったり、アクセスできなくなってしまったり・・・

お客様へも、社内へも大変な迷惑をかけてしまい、信用を失ってしまうかもしれません。

当社では経験が豊富で、あなたの会社の課題を解決できるようISMSの取得、運用を支援するコンサルタントが揃っています。

ISMS、ISO27001の取得、運用、スリム化等、ご興味のある方は今すぐこちらまでご相談を！

ISOコム株式会社お問合せ窓口 0120-549-330