​​ISO/IEC 27001とは?ISMSとの違いや概要、IECの組織構成について解説​

この記事は約12分で読めます。

情報セキュリティにおいて、ISMSISO27001IECという言葉を聞いたことがある方は多いのではないでしょうか。

ISMSやISO27001は、どちらも情報セキュリティに関する認証で、IECは国際的な規格です。
ですが「正直どれがどれだかピンとこない」と思う方もいることでしょう。

この記事では、ISOやIECの概要と違い、ISMSやJIS規格の概要そしてIECの組織構成についてご紹介します。ぜひ最後までご覧ください。

また、ISMS認証ではあれこれ対応することが沢山ありますが、そうしたISMS認証取得までの対応をまとめたTodoリストを無料で配布しています。確実なISMS認証取得に、ご活用ください。

認証取得するぞ!でも、何から始めれば...?ISMS認証取得ToDoリスト 無料ダウンロードはこちら

ISO/IEC 27001とは

​​ISO/IEC 27001とは、ISMS(情報セキュリティマネジメントシステム)の国際規格のことです。
企業や組織における情報セキュリティを、機密性・完全性・可用性のバランスをとりながらマネジメントして、情報の有効活用を促進するための仕組みを示しています。​

​​2002年にISMS認証制度が開始し、2005年にISO27001が発行されました。
その後の個人情報保護法の施行などに併せて、情報セキュリティの重要性は増してきており、企業における重要な経営課題の一つとなっています。​

​​ところでISOとIECと並列されていますが、この2つはどのように異なるのでしょうか。詳しく見ていきましょう。​

「IEC」と「ISO」の違い

​​ISOとIEC、この2つの違いから解説します。​

​​IECは電気・電子技術に関する国際規格策定組織

IECは正式には「国際電気標準会議International Electrotechnical Commission)」です。

電気・電子技術に関する国際規格の策定を行っている国際標準化機関を表します。
「電気および電子の技術分野における標準化のすべての問題および規格適合性評価のような関連事項に関する国際協力を促進し、これによって国際理解を促進すること」を目的としている組織です。​

ISOは、電気以外の工業規格を策定している世界で最も大きな国際標準化組織

​​一方、ISOは「国際標準化機構International Organization for Standardization)」です。

電気以外の工業規格を策定している世界で最も大きな国際標準化組織のことです。
「国家間の製品やサービスの交換を助けるために、標準化活動の発展を促進すること」や「知的、科学的、技術的、そして経済的活動における国家間協力を発展させること」を目的としています。​

​​このように、IECが「電気・電子」に特化していることに対し、ISOは「電気・電子以外の分野」における国際規格を作成しているといえます。

なお一部のITに関する分野では、IECとISOが共同で作成した規格も存在しており、この記事で解説しているISO/IEC 27001はそのうちの一つです。​

「ISMS」と「ISO/IEC 27001」の違い

​​ISMSとは、Information Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムと呼びます。
情報セキュリティの三大要素「機密性・完全性・可用性」という3つの性質が核となり、ISMS認証を取ることで、「企業全体として優れた情報セキュリティ対策ができている」ということをアピール可能です。​

​​一方、ISO/IEC 27001は、ISMSの構築方法や運用方法を定めた国際規格です。
具体的には「機密性・完全性・可用性」を維持する手順や方法を定義しています。​

​​日本では、1981年に「情報システム安全対策実施事業所認定制度」が、情報処理サービス業を対象に施行され、その後2002年にISMS認証制度が始動。

その後は、個人情報保護法が完全施行されたことや、サイバー攻撃の高度化などへの対応に伴い、情報セキュリティ対策の重要性が増してきたこともあり、ISMS認証制度が普及していきました。​

また、2022年にはISMS規格の改訂が実施されました。認証取得予定・取得済み企業はすべて対応必須になりますので、ぜひ対応を確認してみてください。

「ISMS」の概要・要求事項

先述したように、情報セキュリティマネジメントシステム(ISMS)は、組織の情報セキュリティに対するリスク低減を実現するための仕組みです。
では、具体的には、どんな要求事項があるのか確認してみましょう。

  • 4.組織の状況:組織およびその状況の理解
  • 5.リーダーシップ:方針や責任者の策定
  • 6.計画:リスクに対処するための計画の策定
  • 7.支援:ISMS の確立に際して、組織が実施すべき構成員への支援の要求
  • 8.運用:運用の計画管理、セキュリティリスク対応
  • 9.パフォーマンス評価:分析および評価、内部監査
  • 10.改善:評価を受けて、是正しなくてはいけないポイントの継続的な改善

※数字は ISO/IEC 27001 の章番号 1~3 は序文、適用範囲、引用規格の項であるため省略

ISMSを適切に運用・維持することで、情報漏えいやサイバー攻撃などの脅威に対する対策を強化することができます。

また、情報セキュリティポリシーについて組織の全社員に周知徹底・教育を行うことで、情報セキュリティに対する意識レベルが向上し、リスクアセスメントを有効に実施することが可能となります。

「ISO/IEC 27001」と「JIS Q 27001」の概要

ここまで、ISMSについて説明してきました。

情報セキュリティ対策のためのISMSの構築を始めようと思っても、具体的に何から手をつけたらいいのか分からないこともあるでしょう。
そもそも、機密性・完全性・可用性の性質を維持するには、どうすればいいのか、イメージはわきづらいですよね。

ですが、先述した要求事項がまさに、これら3つの性質を維持するための「手順や方法」を示しています

それが「ISO/IEC 27001」であり「JIS Q 27001」なのです。

一見、基準が2つあるように見えますが、「ISO/IEC 27001」は、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で作成した「国際規格」であり、その規格を日本語に訳したものが「JIS Q 27001」です。

つまり、「ISO/IEC 27001」と「JIS Q 27001」は、書かれている言語が違うだけで、中身はほとんど同じものです。

よって、ISMSを取得するには、ISMSの要求事項、つまりはISO/IEC 27001JIS Q 27001に従って社内の制度を作り、運用していけば問題ありません

そして、その制度が規格に沿って適切に作られている、適切に運用されていると判断されれば、「ISMS認証機関」と呼ばれる機関から「ISMS認証取得」の称号をもらうことができるのです。

これは構築されたISMSがISO/IEC 27001(JIS Q 27001)に適合していることを第三者(ISMS認証機関)が評価し、認証する制度です。

この制度は以下の3つの機関によって運用されています。

  1. ISO/IEC 27001(JIS Q 27001)に適合するか審査・登録する「認証機関
  2. 審査員に資格を与える「要員認証機関
  3. 各機関がそれぞれの業務を行う能力があるかをチェックする「認定機関

これら3つの機関が連携して運用することで、ISMS制度の正当性が成り立っているのです。

ISO27001の認証(ISMS認証)取得のメリット

ここまで、ISMSやISOといった用語の違い、内容を詳細に伝えてきました。では、実際にISMS認証を取得することによるメリットはなんでしょうか。

それぞれ紹介します。

情報セキュリティリスクの低減

ISO27001(ISMS)を認証するには以下の条件が守られている必要があります。

  • 社員の情報セキュリティ意識向上
  • 法令順守(コンプライアンス)
  • 業務の効率化
  • 組織体制の強化

このように、外部からの攻撃内部からの漏洩まで全方位に対策が取られていることが前提条件になります。
その分、ISMS認証の取得で包括的な情報セキュリティ対応が可能です。

組織外に対して、信頼感や安心感をアピールするブランディングが可能

国際基準であるISO27001(ISMS)を認証取得すると、情報の適切な取り扱いが一定以上のレベルで担保されているため、信頼感や安心感をアピールしやすくなります。

特に、同じく個人情報の保護に力を入れている他業種の企業にも興味を持ってもらいやすいでしょう。
また、官公庁向けの入札案件にもISMS認証を取得していることが挙げられています。

今や、情報セキュリティ対策は「守り」の施策ではなく、ビジネス上の優位性を獲得する「攻め」の施策になっているのです。

従業員のセキュリティ意識の向上

ISMS認証をするうえで欠かせないのは、全従業員の当事者意識です。
情報漏えいは身近なものであり、誰もがしてしまう可能性があることを従業員が理解することで、情報セキュリティに対する意識の向上が見込めます。

ISMS認証では、定期的な従業員への情報セキュリティ教育が必須となっており、セキュリティ事故を教育して、事故を減らしていけます。これは、他社との大きな差別点となるでしょう。

業務効率の向上

ISMS認証では、情報セキュリティを起点に、そもそもの業務内容や手順を確認・ルール化します。
それをもとにセキュリティ対策を講じたり、セキュリティ上の脆弱性を発見・改善したりといった作業が求められますが、業務の効率化も可能です。

慣習化されてしまったが実は意味のないルールや、形骸化していて不要になっている工程が洗い出され、業務の無駄を削減することができます。

PDCAサイクルを回し、継続的に改善

ISMS認証を取得した場合、認証の有効期限は3年ですが、毎年審査機関によるマネジメント運用状況の確認審査があります。

つまり、認証を取れたから終わりではなく、継続的な改善が行われることが、強制的に求められるのです。

そのため、常に業務のどこに問題があるのか、また、それをどのようにして対策するのかPDCAサイクルを回していき、業務を改善する流れが身につくのは、大きなメリットといえます。

LRMでは、月額5,000円から、ISMSの運用サポートを実施しています。スポットでの各種サポートも対応していますので、ぜひご利用ください。

事業継続性の向上

事業継続性と聞くと聞きなれない言葉かもしれません。
今回の場合、事業継続性が指しているのは「不測の事態でも事業が継続できるか」を表します。

例えば、地震や津波で利用しているデータサーバーが被災し、データが消えてしまったとしても、事業を継続できるでしょうか。
もし、一か所にしかデータの保存がされていなければ厳しいですが、データのバックアップ場所を全国や世界各地で何箇所かに分けていたのであれば、業務を継続できそうです。

ISMS認証では、こういった不測の事態に備えるためのBCP事業継続計画)を設定する必要があります。

予測されるリスクを洗い出し、対策を決定し、手順などをマニュアルに落とし込んでいき、万が一の事態に備えて、計画を立てる必要があり、この計画が作られることがメリットと言えます。

ISO27001の認証(ISMS認証)取得のデメリット

では、反対にISMS認証を取得することによるデメリットは一体何でしょうか。
それぞれ紹介します。

毎年、審査書類の準備やマニュアル作成の手間がかかる

ISO27001(ISMS)を取得・維持するためには、第三者機関の認証が必要です。
そのため、審査に必要な書類を作成し、ISMS認証に準拠できるように、マニュアルの作成する手間が発生します。
つまり、通常業務に加えてISO27001(ISMS)の審査書類やマニュアル作成の作業が必要になるのです

自社に詳しい人材がいて、通常業務と同時並行しても支障がないのであればいいのですが、あまり現実的ではありません。

また、ISMS認証は取得後も認証機関による審査を受けなければなりません。そのため、上記の手間が毎年発生します
このように時間や手間が増えてしまうのは、一定のデメリットと言えるでしょう。

ルールが新たに増える

自社が保有する情報資産を守るためには、現在の管理方法が抱えるリスクを明確にし、適切な管理方法を考えて、ルールとして定め、最適な方法を取らなければなければなりません。
そのため、場合によっては、今までにはなかった新しいルールが増えることもあります。

「前はこうでよかったのに」
「手間が増えてしまったから時間がかかる」

というように、新たなルールに戸惑ってしまう可能性、手間が増えて業務の効率が落ちる可能性があります。

お金がかかる

ISO27001(ISMS)は取得後も毎年審査を受ける必要があり、この審査には費用が発生します。
毎年、一定額がコストとしてかかることは、一定のデメリットと言えるでしょう。

審査費用がISO27001(ISMS)を取得することによるメリットと釣り合っているのかどうか、費用対効果(コストパフォーマンス)を見込めるかどうかは、慎重な判断が必要です。

ここまで、ISOのデメリットについて、解説してきました。
色々と、手間がかかったりお金がかかったりしてしまいますが、ただ、「お金と手間さえ許すのであれば、大きなデメリットはない」とも言えます。

また、それらも、情報漏えいが発生してしまった際の金銭的コストや対応リソース、ISMSによる業務効率化がなされなかった場合の業務非効率を考えれば、許容できるように思います。

IECの組織構成

​​IECは総会をトップとして、合計10の管理部門(上層委員会)と110の専門委員会、120の分化委員会、1,609の作業グループ等によって構成されています。

1か国1機関のみが会員となることができ、2021年12月現在では、88か国の会員国があり、8,358規格が作成されています。日本では1953年に日本産業標準調査会(JISC)が加入しています。​

10の管理部門(上層委員会)の内訳は以下の通りです。

  1. ​​総会​
  2. ​​評議会​
  3. ​​会長委員会​
  4. ​​ビジネス諮問委員会​
  5. ​​ガバナンスレビュー及び監査委員会​
  6. ​​多様性諮問委員会​
  7. ​​IECフォーラム​
  8. ​​標準管理評議会​
  9. ​​適合性評価評議会​
  10. ​​市場戦略評議会​

まとめ

ISOやIECの概要と違い、ISMSやJIS規格の概要そしてIECの組織構成についてご紹介しました。
専門用語かつ、似たような綴りが多くて混乱しがちな部分が、少しでも理解できたのであれば幸いです。

情報セキュリティが重要と知っていても、具体的に何をしたらいいのか分からない企業も多いでしょう。ISMSやISO27001は、自社における情報セキュリティ対策の指針となるものです。
もし、現在これといった情報セキュリティ対策を実施していないのであれば、まずはこの記事を参考に、ISMSやISO27001の認証取得に向けて活動を開始することを強くおすすめします。

LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っています。年間500社16年の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。
※2022年8月1日~2023年7月31日のコンサルティング支援社数

ISMS認証取得をご検討されている方や、社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。

専属コンサルチームが徹底サポート 
はじめてのISMS取得を確実に対応したいなら LRMのコンサルサービスを見る
ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました