ISMSとは?Pマークとの違いや取得までの流れ・期間・費用を解説!

この記事でわかること
  • ISMSの概要、Pマークとの違い、取得までの取り組み
  • ISMS取得までの期間や必要な費用

ISMSとは?

ISMSとは、Information Security Management Systemの略で、
組織の情報セキュリティを管理するための仕組みを指します。

この用語は、情報セキュリティ(IS)部分とマネジメントシステム(MS)部分とに分けられます。
以下、それぞれについて説明していきます。

情報セキュリティ(IS)とは?

情報セキュリティとは、「情報の機密性、完全性及び可用性を維持すること」と定義されています。

機密性

「機密性」とは、認可されていない者に対して情報を使用させない・開示しない特性です。

例えば、「ファイル・フォルダにパスワードをかける」「特定の者のみにファイルの権限を付与する」などが機密性を維持するための対策です。
一般に情報セキュリティと聞くと、この機密性を思い浮かべるのではないでしょうか。

完全性

「完全性」とは、情報の正確さ・完全さの特性です。

例えば、ファイルの内容が古いにもかかわらず、それを最新のものと誤認しそこに記録を書き加えていくと、正確な情報でなくなってしまいます。
これが完全性の損なわれた状態で、対策としてはバージョン管理をしっかりすることが挙げられます。

可用性

「可用性」とは、
認可された者がアクセスや使用を試みた際に、いつでもアクセスや使用をすることができるという特性です。

例えば、ハードディスクが故障してしまい、パソコンのローカルに保存していたファイルの利用ができなくなった場合、可用性が損なわれた状態といえます。
対策としては、バックアップを取っておくことなどが挙げられます。

情報セキュリティを考える際には、これらの3つの特性のどれか一つだけ考えるのではなく、
組織の状況に合わせてそれぞれの観点を意識することが大切です。

特に、機密性と可用性は相反する性質を持ちます。
そのため、例えば機密性を守ろうと対策を考える際に可用性が必要以上に損なわれてないかの意識をしていくことなどが大切となります。
(結果として、組織によってどの特性を重視するかは変わってくることになります)

マネジメントシステム(MS)とは?

マネジメントシステムとは、「方針、目的及びその目的を達成するためのプロセスを確立するための、
相互に関連する又は相互に作用する、組織の一連の要素
」と定義されています。

情報セキュリティに当てはめてみていくと、
まず組織として情報セキュリティにどう取り組んでいくか方針・目標を定めます。

そして、それを達成するために組織の持つ資源(ヒト・カネ・モノ)をどのように投入すればどのような効果が得られるかを検討します。

(例えば、操作ログ管理ソフトを導入することによって、不正な操作をしないよう抑制するとともに、仮に情報漏えいがあった場合に誰が行ったのかを客観的に判断できるようにする、など)

その際、あるルールを定めることが別のルールと競合したり実際の現場の状況と著しく乖離してしまうことが起こり得ます。そこで、全体としてまとまりのあるルールを制定・運用していくことが求められます。
いわゆるPDCAサイクルに沿って組織の課題の特定から対策検討、ルール化・運用といったことを行っていきます。

ISMS認証を取得するとは?

単にISMSといった場合、上記のような「仕組み」自体を指します。もっとも、単にISMSを構築しているといっても、その内容は組織によって様々です。そのため、組織に自らの情報を扱われる者からすると、期待しているとおりのISMSを構築・運用できているか判断は困難です。

そこで、ある組織が情報セキュリティに関して必要最低限の定めるべき事項(規格の要求事項)を定め、それに基づき運用されているかを、第三者(認証機関)が審査し、基準を満たす組織に対し認証を与える制度がISMS認証となります。

なお、無事認証を取得できたとしても、一度認証を取得したら終わりではなく、
PDCAサイクルを回して継続的改善を図っていく必要があります。
そして、しっかりとPDCAを回して運用しているかどうかが翌年以降の維持審査や更新審査で審査されます。

ISMSに関する規格について

ISMSに関する規格としては、ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で策定したISO/IEC 27001、及びこれをJIS(日本産業規格)が日本語訳化したJIS Q 27001があります。JIS Q 27001の規格は、本文と附属書Aとに分かれています。

本文にはISMSを構築するために行わなければならない必須の事項が記載されており、これを守っていない場合には認証を取得できません。(具体的に行っていくことは下記をご参照ください。)
これに対し、附属書Aには、リスクに対応するための管理策の例が114個挙げられており、それぞれの組織がどの管理策を適用するかを選択できます。(適用しない場合には適用宣言書に理由を記載する必要があります)

ISMSとPマークの違い

情報保護に関する認証制度として、ISMS適合性評価(以下、「ISMS認証」と表記します)制度のほかにもプライバシーマーク(以下「Pマーク」と表記します)制度があります。
Pマーク制度は、個人情報の管理に対してしっかりと保護体制が構築・運用されているかを第三者機関が評価する制度です。

両者は、情報保護に関する認証制度としての共通点はありますが、以下のように異なります。

ISMS Pマーク
対象 個人情報も含めた会社(組織)の保有する
情報資産全般を対象
会社(組織)の保有する個人情報のみを対象
対外的
アピール力
国際規格に基づいているため、国際的な認証機関からの認証を受けることで世界的にアピールすることができます。 日本独自の規格に基づくものなので、
日本国内でのアピール力はありますが、
世界的なアピール力は乏しいです。
取得単位 部署単位やプロジェクト単位など取得単位を選択することができます。
取得単位はISMSの「適用範囲」として記載することが規格上求められており、その範囲で審査・認証がされ ます。
法人単位で取得する必要があります。
有効期間 有効期限は3年間です。
そのため、3年に一度の更新審査を受ける必要があります。
また、更新審査のない年についても、維持審査(サーベイランス審査)を受ける必要があります。
有効期限は2年間です。審査の頻度としては2年ごとの更新審査があるのみです。

ISMS認証取得までの取り組みについて

ISMSの認証を取得するためには、情報資産の洗い出しやリスクアセスメント、リスク対応策の選定、各段階における必要な文書や記録の作成、従業員教育、内部監査といった様々な取り組みが必要となります。

ところが、ISMSの規格の文言自体はとても抽象的な記載となっています。
そのため、経験のない担当者の方が自社のみで取得を目指そうとすると、規格の内容を理解することに多くの労力を割くことになります。また規格には具体的に何をするのか書かれていないことが多いため、何をするかを決めていくことにも時間がかかってしまいます。

これに対して、コンサルタントに依頼した場合は、審査までのロードマップがしっかりとしており、
「いつまでに」「誰に」「何を」して欲しいのかが明確に伝えられるため、担当者の方が必要以上に時間を費やしてしまうことを避けられます。

例えば、自社のみで取り組みを行う場合、情報資産の洗い出しを必要以上に細かくしてしまったり、情報セキュリティリスクに対して有効でないルールや、業務の妨げになるルールを定めてしまうかもしれません。
このように、はじめから自社のみで取得しようとすると、取り組みのいろいろな段階で問題が生じる可能性があり、場合によっては認証取得自体を諦めてしまう結果となりかねません。

これに対し、経験豊富なコンサルタントであれば、審査機関ごとの特徴を把握していたり、顧客同業他社を含めた一般的な情報セキュリティに関する実情を熟知しています。
そのため、業務効率を不必要に妨げるような過度なルールではなく、会社の業務実態に沿ったルールの策定が可能となります。

認証取得後の運用について

ISMSの規格では継続的改善が要求されています。
そのため、ISMS認証は「取得して終わり」ではありません。むしろ構築したISMS体制を運用するのが本番の段階といえます。

自社のみで認証取得する場合、認証取得のみを目指して運用のことまで深く考えていないことがあります。
認証取得に向け過度なルールを構築してしまい、認証取得後の運用が煩雑になりすぎてしまう可能性もあります。
また、日々変化する情報セキュリティ事情や関連法令の把握も、しっかり取り組もうと思うほど担当者の方に過度な負担となってしまうこともあります。

コンサルタント会社によっては、ISMSの運用支援を行っている場合もありますので、そのような点も含めて検討してみてはいかがでしょう。

取得にかかる期間・費用

期間について

ISMSを取得するまでには、コンサルタントに依頼した場合でも、半年程度は必要になります。
自社のみで取得する場合、担当者の方が確保できる時間にもよりますが、さらにかかる事になります。

ISMS認証を取得するには、最低限1回はPDCAを回す必要があります。
具体的には、以下のような事を行う必要があります。

P=計画

  • 組織の外部及び内部の課題の決定
  • 利害関係者のニーズ及び期待の理解
  • ISMSの適用範囲の決定
  • 情報セキュリティ方針の確立
  • ISMSに関する責任と権限の割当て
  • リスクと機会の特定
  • 特定したリスクを評価・分析(リスクアセスメント)
  • リスクへの対応の決定
  • 情報セキュリティ目的(目標)の確立とそれを達成するための計画の策定
  • 従業員への教育・訓練の実施
  • 文書化された情報の管理

D=実施

  • 運用の計画と管理
  • 定期的及び大きな変化があった場合のリスクアセスメント
  • リスク対応計画の実施

C=評価

  • 内部監査やマネジメントレビュー

A=改善

  • 修正処置や是正処置の実施

自社のみで取得を目指す場合は、そもそも何をしなければならないのかの調査に始まり、規格で求められていることを調べながら検討していくことになるかと思います。
そうすると、認証取得に直接必要のない作業に時間を取られることになります。

これに対し、コンサルタントに依頼する場合、そのような作業は必要なく、認証取得に向けて効率的な取組が可能となります。
例えば弊社の場合ですと、取得目安期間としては、約6か月(シンプルコース)、約8か月(スタンダードコース)、約5か月(短期取得コース)などとなります。

費用について

ISMSの費用は、分類すると以下になります。

※審査費用は、会社の規模・資産の重要性・ISMSの複雑さによっても変動しますので、目安としてお考え下さい。
 上記金額は、数十名規模の企業の初回審査費用の目安です。

審査費用(必須)

上記の図に記載されている費用は、あくまでも目安とお考え下さい。
審査費用は、審査機関によって費用が異なるのはもちろん、同じ審査機関で同じ規模の会社が審査を受けた場合でも、費用が異なる場合があるためです。

審査費用は「審査工数(人・日)×審査員派遣料金(1日当たり)+その他費用」によって決まりますが、審査工数の算定方法や審査員の派遣料金単価は、審査機関によって異なります。
また、審査工数算定の考慮要素としては、単に組織の従業員数のみでなく、扱う資産の重要性やISMSの複雑さなども考慮要素となります。

ある審査機関の審査費用の例としても、以下のように料金が異なります。

会社A 会社B 会社C
事務所の数 1カ所 2カ所 1カ所
人数 約30名 約30名 約30名
審査費用 855,000円 820,000円 920,000円

コンサルティング費用(依頼する場合)

コンサルタントに依頼する場合、会社によって異なりますが、数十万~数百万円の費用がかかります。
決して安くはない費用がかかりますが、コンサルタントに依頼しない場合、全くの未経験の方が規格を調査するところから始めていく必要がありますので、かなりの労力がかかってしまい、担当者の方の時間・労力を考慮すると、コンサルタントを利用した方が結果的にコストが抑えられる場合が多いです。

自社のみで認証取得を目指すと、本来は認証取得や情報セキュリティ上は必要ではないルールを定めてしまい、業務効率が下がってしまう事もあります。その点コンサルタントであれば、現在の業務実態を考慮しながら、ルール作成を行ってもらえます。

先述の審査費用の件についても、コンサルタントであれば各審査機関の費用感や特徴を把握している事もありますので、そういった面からも依頼するメリットになるのかなと思います。

その他費用

ISMS取得活動を行う上で、備品の購入などがある場合の費用になります。
「ルールの変更により、鍵付きのキャビネットが必要になったので購入する」等が該当します。
通常そこまで多数の備品を購入することはあまりありません。

さいごに

いかがでしたでしょうか。
以上、ISMSを初めて取得する際に知っておきたいISMSについての概要、ISMSとPマークとの比較、自社のみで取り組む場合とコンサルタントに依頼する場合との比較についてみてきました。
ご興味を持たれた方は、以下のページもご覧ください。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る