ISMS取得時に対応しなければいけない要求事項について | オプティマ・ソリューションズ株式会社 オプティマ・ソリューションズ株式会社
助太刀記事の背景画像 雲の装飾
の画像

助太刀記事

ISMS取得時に対応しなければいけない要求事項について

2023.12.7

オプティマ・ソリューションズ編集部のアバター
オプティマ・ソリューションズ編集部

Pマーク・ISMS認証取得の分野から新選組のように企業・経営者の安心を守りながらセキュリティや個人情報が漏洩・侵害されないような「日本社会の治安維持」を担っております。皆様が安心して暮らすことができ、本来のお仕事に集中できる、そんな社会を目指しています。これまでに大企業から中小企業まで、2,000件以上の認証を通してきました。

組織の情報を適切に管理するシステム、ISMSの要求事項についてご存じですか?

ISMSを取得したいと思っても、「どうやって取得するのか分からない」「なんだか難しそう」と、諦めてしまう方もいるでしょう。

そこで今回の記事では、

  • ISMSの要求事項について知りたい
  • ISMSを取得するためにやるべきことが分からない
  • そもそもISMSって何?

という方に向けて、ISMSの要求事項や取得方法について解説していきます。

ISMSとは

ISMSとは、「Information Security Management System」の略称で、日本語では「情報セキュリティマネジメントシステム」と訳されます。

これは、会社が持つ情報資産が外部に流出するリスクを把握し、組織全体として情報を適切に管理する仕組みのことです。

情報セキュリティ(IS)は、

  • 機密性=許可された人のみが情報にアクセスできる状態になっていること
  • 完全性=情報が正確かつ完全な状態で管理されていること
  • 可用性=必要な時にいつでもアクセスできるようになっていること

など3つの要素で成り立っています。

また、マネジメントシステム(MS)は、組織が目標を達成するためのプロセスを確立する仕組みのことを指します。

例えば、

  • 脆弱性
  • コンピューターウイルス
  • 不正アクセス
  • 自然災害

などのリスクに対して、個別に強引な対策をしても上手くいかないでしょう。

そんな時に、ISMSを構築することで、情報セキュリティを継続的に改善していくことができます

ISMSを取得するメリット

次に、ISMSを取得するメリットについて解説していきます。

メリットはいくつかありますが、主に、

  • 会社のセキュリティレベルが向上する
  • 仕事を受注しやすくなる

などが挙げられます。

ISMSを取得する過程で、情報資産の洗い出しや、適切なセキュリティ対策を考えることになるので、会社のセキュリティレベルが向上します。

また、取得後も継続的に運用・改善する必要があるので、従業員の情報セキュリティへの意識を向上させることもできるでしょう。

ISMSは国際規格によって定められているので、認証を取得すると、会社が情報セキュリティ対策を実施しているという証になり、取引先から信頼を得られます

また、大手企業や国・自治体が相手の仕事では、ISMSを取得していることが条件になっていることもあります。

こういった理由から、ISMSを取得しておくことで、仕事を受注しやすくなります。

ISMS規格

ISMSには、構築するためのガイドラインのような、規格というものがあります。

規格には、ISMSを構築する上で満たすべき「要求事項」が記載されており、これに沿って構築することで、効率的にマネジメントシステムを作ることが可能です。

ISMSの代表的な規格は、「ISO/IEC 27001」というものです。

「ISO/IEC 27001」は英語やフランス語で書かれているので、個人がそれぞれ翻訳を行うと、内容や様式が変わってしまう可能性があります。

そこで「ISO/IEC 27001」を、日本産業標準調査会が翻訳を行なったものを、「JIS Q 27001」として発行しています。

要求事項

「JIS Q 27001」では、組織が効率的にISMSを構築し、情報資産を適切に管理・運用することを要求しています。

本文には、どんな組織であっても実施しなければならない旨、記載されています。

「JIS Q 27001」の本文の目次は次の通りです。

  • 0 序文
  • 1 適用範囲
  • 2 引用規格
  • 3 用語及び定義
  • 4 組織の状況
  • 5 リーダーシップ
  • 6 計画
  • 7 支援
  • 8 運用
  • 9 パフォーマンス評価
  • 10 改善

要求事項には、本文の他に「付属書A」というものもあります。

ここから、具体的な内容について解説していきます。

0 序文

ここでは、この規格がどんなものなのか、読み方について説明されています。

具体的な要求は書かれていません。

1 適用範囲

適用範囲とは、ISMSを適用させる範囲のことです。

事業単位や部門単位など、会社の状況に応じて自由に決定できます。

2 引用規格

規格を引用している文書が書かれています。

「JIS Q 27001」の場合は、「JIS Q 27000」の用語から引用されています。

対応している国際規格は、「ISO/IEC 27000」です。

3 用語及び定義

この規格に用いられている用語や定義は、「JIS Q 27000」によるものです。

前項と同じようなことが記載されています。

4 組織の状況

ここから、要求事項が本格的に記載されています。

組織内外の状況や、利害関係者(顧客や委託先など)のニーズ把握を行い、適用範囲を決めることを要求しています。

5 リーダーシップ

この規格では、トップマネジメント(組織を指揮し管理する最高位の人やグループ)が主導し、ISMSを構築することを要求しています。

ここでは、トップマネジメントが実施すべきことが記載されています。

6 計画

ISMSは、PDCAサイクルによる継続的な改善を要求しています。

ここでは、その中のPにあたる、計画を作る際の要求事項が書かれています。

7 支援

ISMSを構築する際に、組織が行うべき構成員への支援に関する要求が記載されています。

支援の内容は、従業員への教育や知識を持った人の雇用などです。

8 運用

PDCAサイクルのDにあたる、実行する際の要求事項が書かれています。

9 パフォーマンス評価

PDCAサイクルのCにあたる、評価に関する要求事項が書かれています。

これは、ISMSを構築するにあたって、非常に重要な項目です。

10 改善

PDCAサイクルのAにあたる、改善に関する要求事項が書かれています。

具体的には、是正処置やリスクが発見された場合の対処などです。

付属書A

付属書Aは、ISMSを構築する際の、具体的な管理策をまとめたものです。

会社のセキュリティリスクを管理し、実施することが推奨されている管理策が、93個記載されています。

すべてに対応する必要はなく、93個の中から会社にとって必要な項目を洗い出して対応します。

コンサルタントに依頼した場合、付属書Aの中から会社に必要な項目を提案してくれます。

また、本文の内容にも解説してもらえるので、文書を読み込む必要がないことも多いです。

ISMSを取得するためにやらなければならないこと

ISMSを取得するためには、やらなければならないことがたくさんあります。

大まかな流れは、次の通りです。

  1. スケジュールを決める
  2. 役割分担を決める
  3. 認証の取得範囲を決める
  4. 審査機関を決める
  5. 情報セキュリティ目標・方針を作成する
  6. 情報資産を洗い出す
  7. リスクアセスメントを行う
  8. 法令を特定する
  9. 委託先の管理を行う
  10. 従業員の育成を行う
  11. 情報セキュリティを継続する
  12. 内部監査を行う
  13. マネジメントレビューを行う
  14. 審査を受ける
  15. 次年度のスケジュールを決める

1つずつ解説していきます。

スケジュールを決める

ISMSを取得するためには、ISMS構築に向けたスケジュールを文書化しておく必要があります。

このスケジュールには、認証取得に向けて行うべきことや、進捗確認表などを記載しましょう。

完了したものにチェックを付けておくことで、どこまで進んだのか、ということが一目瞭然となります。

役割分担を決める

ISMSでは、効率的に運用するための役割をいくつか決めておかなければなりません。

基本的には、次の5つの役割を決めます。

  • トップマネジメント
  • 情報セキュリティ管理者
  • 情報セキュリティ担当者
  • システム管理者
  • 内部監査員

必要な役割は、トップマネジメント、情報セキュリティ管理者、内部監査員の3つです。

他の役割は、必要に応じて決定すれば問題ありません。

それでは、1つずつ詳しく見ていきましょう。

トップマネジメント

トップマネジメントとは、組織を指揮・管理し、最終的な判断を下す人です。

全体の統括や、ISMS取得に向けた取り組みがスムーズに進むように、従業員を支援します。

一般的に、適用範囲の代表者が務めることが多いです。

情報セキュリティ管理者

情報セキュリティ管理者は、組織の情報セキュリティのための活動を統括し、責任を負う人です。

現場と経営者の橋渡しができる人が適任でしょう。

情報セキュリティ担当者

情報セキュリティ担当者は、情報セキュリティ管理者のもとで、現場にISMSを浸透させる人です。

現場の状況を把握できる人が適任です。

システム管理者

システム管理者は、会社内のシステムの情報セキュリティに対して責任を負います。

情報システム部などから選出されることが多いです。

内部監査員

内部監査員は、ISMSが適切に機能しているかどうかを、客観的に判断する人です。

第三者の視点から監査する必要があるので、コンサルタントなど、社外の人が担うこともあります。

ISMSの規格の要求事項や、内部監査に関する知識を持っている人が適任です。

認証の取得範囲を決める

次に、ISMSの適用範囲を決めます。

ISMSと同じように、情報セキュリティに関する認証には、Pマークというものもあります。

Pマークの場合は、会社全体で取得する必要がありますが、ISMSの場合は、適用範囲を自由に設定できます。

  • 部署
  • 事業所
  • 業務

などのくくりから、ISMSを取得したい範囲を決めましょう。

会社全体で取得することもありますし、特定の部署だけ取得することもあります。

適用範囲によって、審査費用やコンサルティング費用、手間のかかり方が変わってきます。

そのため、「とりあえず会社全体で取得しよう」とするのではなく、まず必要な範囲で取得し、徐々に拡大していくのがおすすめです。

後から広げていく方が、費用だけでなく時間などのコストも抑えることができます

審査機関を決める

ISMS取得のためには、審査機関からの審査を受ける必要があります。

審査機関はたくさんありますが、それぞれ

  • 審査費用
  • 審査可能な時期
  • 審査の質
  • 審査実績

などが異なります。

会社が希望する条件に合った審査機関を選択しましょう。

また、将来的に別の認証を取得する予定がある場合は、審査機関が別の認証の審査を対象としているか、ということを調べておくことも大切です。

別の認証を取得する時に、審査機関を変更するという手間がかからないようにしましょう。

コンサルティングを受けている場合は、コンサルタントにおすすめの審査機関を尋ねてみてもいいでしょう。

情報セキュリティ目標・方針を作成する

ISMSを取得するためには、「情報セキュリティ目標」を掲げる必要があります。

初年度は基本的な目標、次年度以降は前年度の反省を活かした目標を掲げる会社が多いです。

また、「情報セキュリティ方針」も必要になります。

これは、会社のISMSの目的や方向性などに関する、トップマネジメントの考え方が含まれる文書です。

ホームページ上での公表は必須ではありませんが、必要な時に利害関係者が入手できる状態にしておきましょう。

さらに、従業員に対して「情報セキュリティ方針」を周知する必要もあります。

組織全体でこれらを達成しようとすることで、普段の情報セキュリティへの意識向上に繋がります。組織がよりよくなるような目標・方針を設定しましょう。

情報資産を洗い出す

会社の情報資産を守るためには、会社の情報資産を把握する必要があるので、情報を洗い出す作業を行います。

様々な方法がありますが、一般的には部署ごとに情報をExcelファイルにまとめていくという方法が取られています。

  • どのような情報
  • どのくらいの粒度
  • どのようなフォーマット

で一覧にするのか、事前に決めておきましょう。

バラバラに表を作ってしまうと、何もかもバラバラで見づらい一覧になってしまう可能性があります。

リスクアセスメントを行う

リスクアセスメントとは、適用範囲内にある様々なリスクを洗い出して評価する、という一連の流れのことです。

実際には情報セキュリティリスクだけでなく、業務を見直すきっかけにもなるので、業務効率・品質を改善する機会にもなります。

リスクアセスメントの方法は主に3つあります。

  • 「情報資産をベースにしたリスク分析」
    1つ1つの情報資産からリスクを洗い出す
  • 「業務フローをベースにしたリスク分析」
    普段の業務工程に沿ってリスクを洗い出す
  • 「ガイドラインをベースにしたリスク分析」
    既存の標準から基準値を作成してリスクを洗い出す

一般的に多く使われる方法は、「情報資産をベースにしたリスク分析」です。

ですが、情報資産の一覧を見ても、不慣れな担当者にとっては内容を把握しづらく、リスクの洗い出しも難しいというデメリットがあります。

一方、「業務フローをベースにしたリスク分析」は、イメージがつきやすく分かりやすい方法になっています。

リスクアセスメントの担当者の変更や、業務フローの変更があっても確認がしやすいです。

法令を特定する

ISMSを構築する際には、情報セキュリティや業務に関する法令を確認することも必要です。

日本国内の会社であれば、

  • 個人情報保護法
  • マイナンバー法
  • 不正アクセス禁止法

などは、ほぼ確実に関連する法令です。

また、この時に特定・確認した法令は、定期的に法改正を確認し、最新の状態にしておかなければなりません。

委託先の管理を行う

委託先というのは、自分たちの会社の情報を預けているところです。

委託先の管理とは、委託先を洗い出して、自分たちの会社の情報を預けるに値する相手かどうかを判断する、ということを指します。

なぜ、委託先の管理が必要かというと、もし委託先が情報漏えいを起こした場合、委託元(自分たちの会社)が責任を問われるからです。

個人情報保護法では、「委託元には委託先を監督する責任がある」と定められています。

そのため、委託先が情報セキュリティ対策を適切に行っているか、ということを把握し、場合によってはセキュリティ教育の実施や、現地監査を行う必要があります。

また、一度判断して終わりではなく、委託先が今後も情報を預ける先として適切かどうかを見直しを行いましょう

これは、

  • 委託先のセキュリティ状況の変化
  • 自分たちの会社のセキュリティ基準の変化

などが起こる可能性があるからです。

従業員の育成を行う

ISMSでは、ISMSに関わる人が適切な教育を受け、必要な能力を確実に身に付けることが要求されています。

必要な能力の例は、次の通りです。

  • ISMSを改善していくための知識・技能
  • 情報セキュリティに関するトラブルを起こさない能力

これらの能力を確認する方法には、eラーニングやテストなどがあります。

審査では、教育を行った記録の提示を求められることがあるので、全て保存しておきましょう。

情報セキュリティを継続する

システム障害や自然災害、事故は、いつ起こるか分からないものです。

業務継続が困難な状況に陥った時に備えて、業務や事業を継続するための計画をあらかじめ立てておく必要があります。

また、計画に問題や不備がないかを、訓練を実施して確認します。

これを事業継続訓練と呼びます。

事業継続訓練の例は次の通りです。

  • 社内のサーバーがダウンした場合の対応訓練
  • 使用しているクラウドサービスが停止した場合の対応訓練
  • 会社で提供しているサービスに問題が発生した場合の対応訓練
  • 自然災害や火事が起こった場合の避難訓練

事業継続訓練に明確な決まりはありません。

しかし、ISMSの適用範囲内で、事業継続に影響を与えるものを洗い出し、それらに対する訓練を実施するのが適切と言えるでしょう。

内部監査を行う

ISMSが構築できたら、内部監査を行います。

内部監査は、PDCAサイクルのC(評価)にあたる工程です。

内部監査では、

  • 作成したルールがISMS規格の要求事項を満たしているか
  • 組織ルールに従い、情報セキュリティに関する取り組みができているか

を確認します。

内部監査の流れは次の通りです。

  1. 内部監査員を決める
  2. 監査チェックリストを作る
  3. 実施する
  4. 監査報告書を作成する

内部監査員を決める

まずは、内部監査を行う内部監査員を決めます。

前述した通り、内部監査員は、対象の適用範囲を客観的に見られる人でなければなりません。

そのため、自分の所属する部署や事業所の監査は、できません。

また、「内部」監査員ではあるものの、社外の人に依頼できます。

コンサルティングを依頼している場合は、コンサルタントに監査してもらってもいいでしょう。

監査チェックリストを作る

次に、監査チェックリストを作ります。

このリストの作成は必須ではありませんが、事前にリスト化しておくと、

  • 内部監査を実施する時に何をチェックするのか迷いがなくなる
  • 後から何をチェックしたのか確認しやすい

というメリットがあるので、作成をおすすめします。

実施する

内部監査を実施する際は、現場の担当者にヒアリングを行ったり、現場の確認を行います。

主に、

  • ISMSの運用実態
  • ISMS文書の確認
  • 手順が適正かどうか
  • 従業員のISMSの理解度

などを確認します。

不適合箇所はもちろんですが、必要に応じて適合箇所の内容も記録しておきましょう。

監査報告書を作成する

内部監査を実施した後は、監査報告書に内部監査で出てきた指摘を記入します。

確認しただけで終わっては意味がないので、PDCAサイクルのA(改善)に繋げるために、結果をトップマネジメントがレビューします。

マネジメントレビューを行う

内部監査の後は、マネジメントレビューを行います。

これは、会社のISMSが意味のあるものかどうか、を確認するための見直しです。

マネジメントレビューでは、

  • どのような報告をトップマネジメントにしたのか
  • トップマネジメントはどのような決定をしたのか

を文書化しなければなりません。

ISMSを構築・運用する以上、それが組織にとって意味あるものだとされることが理想です。

そのため、それを確認するために目標を設定し、今年度の結果がどうだったのかを報告する必要があります。

そして、この結果をトップマネジメントに報告し、レビューされたものがマネジメントレビューです。

ISMSの構築・運用には、トップマネジメントが積極的に関わることが求められます。

そのため、この工程は欠かせないのです。

審査を受ける

ISMSを構築した後は、審査機関による審査を受けます。

審査前には、審査機関から「審査計画書」が送付され、これをもとに審査を行っていきます。

審査には二段階あり、

  • 一次審査は書類審査
  • 二次審査は現地審査

となっています。

一次審査

一次審査は文書の確認を中心に、マネジメントシステムの構築・運用確認の審査が行われます。

ここでは、PDCAサイクルのP(計画)の部分を重点的に審査されます。

その際、

  • 情報セキュリティ目標がない
  • 情報セキュリティ方針がない
  • リスクアセスメントを行っていない

となると、指摘を受けるでしょう。

二次審査

二次審査では、構築したISMSが適切に運用されているかどうか、有効に機能しているかどうか。

従業員がルールを守っているか、ということを含めて審査されます。

審査員が現地に入り、

  • 使用しているパスワードは適切か
  • クリアデスクが徹底されているか

などがチェックされます。

この2つの審査を突破すると、ようやくISMS認証を取得することができます。

次年度のスケジュールを決める

審査終了後、1ヵ月ほどすると認定書が発行されます。

その後は、来年度のスケジュールを決めていきます。

ISMSは継続的に運用するものなので、初年度の反省を活かし、よりよい運用を目指しましょう。

SMS取得のご相談ならオプティマ・ソリューションズへ!

弊社は創業後の18年間で3,000件を超える支援を行ってきました。

さらに、弊社には次の強みがあります。

  • メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
  • 月々定額の分割払いができる
  • 東京、大阪、名古屋に支社がある
  • オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
  • 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)

弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。

お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。

これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。