ISO/IEC 27001とは、情報セキュリティマネジメントシステムの要求事項を規定した国際規格です。この規格は、企業・団体等の組織が情報セキュリティを適切に管理するためのベストプラクティスを提供し、組織の情報セキュリティを継続的に改善するための枠組みを提供します。
情報セキュリティマネジメントシステム(Informatio Security Management System)は、組織における情報セキュリティの管理の仕組みのことで、その頭文字をとって、ISMS(アイ エス エム エス)と呼ばれます。
ISMS=情報セキュリティ+マネジメントシステム
情報セキュリティとは、個人情報や企業秘密などの重要な情報が流出したり盗まれたりしないように情報を守ること(機密性)のほか、情報が最新で内容に誤りや改ざんがないこと(完全性)、情報を使いたい時に使えること(可用性)を指したものです。
これらを情報セキュリティの3要素をバランスよく適切に管理する仕組みがISMSです。
ISO/IEC 27001(ISMS)認証とは
ISO/IEC 27001認証とは、企業・団体等の組織が構築した情報セキュリティマネジメントシステム(ISMS)が、ISMSに関する国際規格であるISO/IEC 27001に適合していること、および組織のISMSが適切かつ有効に運用されていることを認証機関(審査登録機関)が審査し、認定機関が認定するプロセスです。
この一連のプロセスは、第三者認証またはマネジメントシステム認証ともいわれ、日本国内では、一般社団法人情報マネジメントシステム認定センターが、ISMS適合性評価制度として運用しています。
認証審査では、組織内に情報セキュリティに関する方針や手順が策定され、実践されているか、情報セキュリティに関連するリスクが適切に評価され、適切な対策が実施されているかを評価し、ISO/IEC 27001に準拠したISMSが適切に構築・運用されているかを審査します。
ISO/IEC 27001認証により、組織内に情報セキュリティに関する適切な管理体制が構築されていることが外部に証明され、顧客や取引先などからの信頼を得ることができるほか、情報セキュリティに関する法的要件を遵守することができ、情報セキュリティに関するリスクを最小限に抑えることができるなど、組織の価値向上やリスクマネジメントにも貢献します。
ISO/IEC 27001(ISMS)認証取得のメリット
顧客・取引先からの信頼性向上
組織外部の第三者認証機関によって、組織のISMSが適切に運用されていることが認定されることにより、顧客や取引先からの信頼を向上させることができます。
法的要件への適合
ISO/IEC 27001認証によって、組織が情報セキュリティに関する法的要件に適合していることが評価されることで、法令違反リスク対応等のリーガルリスクマネジメントにも貢献します。
ビジネスチャンスの拡大
ISO/IEC 27001認証は、情報セキュリティに対する組織の取り組みが適切あることの証明であり、新規顧客開拓をはじめ官公庁の情報関連事業の入札案件となる場合にも有効です。
コスト削減
情報セキュリティに関連するリスクの適切な評価による合理的な情報セキュリティ対策の実施により、情報セキュリティリスクが最小化されることで、より効果的なIT投資が可能となり、コスト削減が期待できます。
組織の情報セキュリティ向上
組織内の情報の取り扱いに関する仕組みが確立し、従業者の情報セキュリティに関する意識が向上することにより、情報漏えいをはじめとした情報セキュリティ事故の未然防止が期待できます。
コンサルティングの特徴
お客様の事業環境に合わせたコンサルティング
組織規模や業務内容のほか、組織内の様々なルールや規程の整備状況に合わせて、組織の身の丈に合ったISMSの構築および認証取得をご支援します。
認証取得後の着実な運用につなげるコンサルティング
ISO/IEC 27001認証取得は、「認証取得」という目的からすればゴールですが、その後の運用という視点で見れば、あくまで通過点であり認証維持活動のスタートでもあることから、自組織でPDCAが着実に運用できるISMSの構築をご支援します。
ISO審査員資格保有者によるコンサルティング
ISO審査員資格保有者による、審査に関する最新トピックや審査事例などの情報提供をはじめ、想定問答集を活用した実際の審査と同様の質疑応答を行う模擬審査により審査対応力向上をご支援します。