ISMSとISO27001の違いは「仕組み」か「手順」か
izaki
2015年09月11日
カテゴリ:ISMS/ISO27001

今回は、ISMSとISO27001の違いについて説明したいと思います。

私が初めてISMSという単語を知り、インターネットで検索した時、「ISMS」と検索したのにもかかわらず、「ISO/IEC27001」や「JIS Q 27001」など、よくわからない横文字が出てきました。

それらがISMSとどう関係しているのかを以下で説明していきます。

「ISMS」の概要

まずは「ISMS」について、簡単に説明します。

ISMSとは、Information Security Management System の頭文字をとって並べたもので、日本語では「情報セキュリティマネジメントシステム」と呼ばれています。

このISMSは、その名の通り「システム」、つまりは「仕組み」のことです。

企業全体の「情報セキュリティを管理するための仕組み」が、ISMSなのです。

このISMSについて、すこし詳しく説明します。

最近、情報漏洩や悪質なハッカーによる攻撃など、企業の情報セキュリティに関する被害が多く発生しています。

これらの被害を抑えるには、つまりは、企業の情報セキュリティのレベルを高めるには、一体どうすればいいでしょうか?

様々な答えが考えられますが、ISMS的な考え方では、企業の情報セキュリティのレベルを高めるためには、「機密性・完全性・可用性」という3つの性質を維持することが大切だ!と言われています。

これらの性質の詳細を説明すると長くなるため省略しますが、結局ISMSは「この3つの性質を適切に維持することができれば、企業全体として優れた情報セキュリティ対策ができますよ」ということを述べているのです。

「ISO/IEC27001」と「JIS Q 27001」の概要

しかし、いざ、「情報セキュリティ対策をするぞ!ISMSを構築するぞ!」となったときに、少し問題が起こってしまいます。

「機密性・完全性・可用性」の3つの性質を維持する、と言われただけでは、具体的に何からどのように手を付ければいいのか、わからないのです。

そのため、これらの3つの性質を維持するための「手順や方法」が存在しています。

それこそが「ISO/IEC27001」であり「JIS Q 27001」なのです。

実際にはISMSの「手順や方法」とは呼ばず、ISMSの「規格」やISMSの「要求事項」と呼んだりします。

一見、基準が2つあるように見えますが、「ISO/IEC27001」は、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で作成した「国際規格」のことです。

そして、その規格を日本語に訳したものが「JIS Q 27001」なのです。

つまり、「ISO/IEC27001」と「JIS Q 27001」は、書かれている言語が違うだけで、中身はほとんど同じものです。

よって、ISMSを取得するには、ISMSの要求事項、つまりはISO/IEC27001やJIS Q 27001に従って社内の制度を作っていく必要があります。

そして、その制度が規格にそって、適切に作られていると判断されれば、「ISMS認証機関」と呼ばれる機関から「ISMS認証取得」の称号をもらうことができるわけです。

訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら 情報セキュリティに関する最新情報を随時配信中。最新トピックやよくある事故事例など、役立つ情報が満載です。
カテゴリー: ISMS/ISO27001

ISMSとISO27001の違いは「仕組み」か「手順」か

今回は、ISMSとISO27001の違いについて説明したいと思います。

私が初めてISMSという単語を知り、インターネットで検索した時、「ISMS」と検索したのにもかかわらず、「ISO/IEC27001」や「JIS Q 27001」など、よくわからない横文字が出てきました。

それらがISMSとどう関係しているのかを以下で説明していきます。

「ISMS」の概要

まずは「ISMS」について、簡単に説明します。

ISMSとは、Information Security Management System の頭文字をとって並べたもので、日本語では「情報セキュリティマネジメントシステム」と呼ばれています。

このISMSは、その名の通り「システム」、つまりは「仕組み」のことです。

企業全体の「情報セキュリティを管理するための仕組み」が、ISMSなのです。

このISMSについて、すこし詳しく説明します。

最近、情報漏洩や悪質なハッカーによる攻撃など、企業の情報セキュリティに関する被害が多く発生しています。

これらの被害を抑えるには、つまりは、企業の情報セキュリティのレベルを高めるには、一体どうすればいいでしょうか?

様々な答えが考えられますが、ISMS的な考え方では、企業の情報セキュリティのレベルを高めるためには、「機密性・完全性・可用性」という3つの性質を維持することが大切だ!と言われています。

これらの性質の詳細を説明すると長くなるため省略しますが、結局ISMSは「この3つの性質を適切に維持することができれば、企業全体として優れた情報セキュリティ対策ができますよ」ということを述べているのです。

「ISO/IEC27001」と「JIS Q 27001」の概要

しかし、いざ、「情報セキュリティ対策をするぞ!ISMSを構築するぞ!」となったときに、少し問題が起こってしまいます。

「機密性・完全性・可用性」の3つの性質を維持する、と言われただけでは、具体的に何からどのように手を付ければいいのか、わからないのです。

そのため、これらの3つの性質を維持するための「手順や方法」が存在しています。

それこそが「ISO/IEC27001」であり「JIS Q 27001」なのです。

実際にはISMSの「手順や方法」とは呼ばず、ISMSの「規格」やISMSの「要求事項」と呼んだりします。

一見、基準が2つあるように見えますが、「ISO/IEC27001」は、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で作成した「国際規格」のことです。

そして、その規格を日本語に訳したものが「JIS Q 27001」なのです。

つまり、「ISO/IEC27001」と「JIS Q 27001」は、書かれている言語が違うだけで、中身はほとんど同じものです。

よって、ISMSを取得するには、ISMSの要求事項、つまりはISO/IEC27001やJIS Q 27001に従って社内の制度を作っていく必要があります。

そして、その制度が規格にそって、適切に作られていると判断されれば、「ISMS認証機関」と呼ばれる機関から「ISMS認証取得」の称号をもらうことができるわけです。

Author: 井崎 友博
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • google+に追加
  • LINEでシェアする

訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら

情報セキュリティに関する最新情報を随時配信中。メールマガジン登録(無料)