情報セキュリティのレベルを上げるためには、従業員個々のセキュリティの知見を高めることやセキュアなソフトを導入することなども重要ですが、組織のセキュリティに関するマネジメント力を高めて全体の水準を上げていくことも大切です。
その観点によるシステム運用を目指すのが「ISMS」で、「ISMS認証」を受けることにより対外的にリスクマネジメントがきちんとできていることを対外的に示すことができるようになります。
この記事でISMSおよびその認証制度について説明していきます。
目次
ISMSとは
ISMSとは、「Information・Security・Management・System」の略です。
リスクマネジメントプロセスを実行し、情報の“完全性”、“機密性”、“可用性”を維持あるいは改善すること。そしてリスク管理により関係者に信頼を与えることをISMSは目指します。
また、ISMSの構築・運用が企業にとって重要な情報セキュリティの確保に繋がります。
ISMS認証の制度について
ISMSを構築する上では、国際規格であるISO/IEC 27001(JIS Q 27001)が指標として使えます。これを参照することで、どのようにISMSを構築していけばいいのか、実施方法や改善の手法などが具体的にまとめられています。
そしてISMSが構築できているかどうかは、ISMS認証を受けることで確認ができます。第三者機関による審査制度に基づいており、客観的な指標に基づいた審査を受けることが可能です。
第三者機関が申請をしてきた企業の状況をチェックし、規格に準拠できているかを審査。クリアしていると評価されれば、その証明を受けることができます。
ISMS適合性評価の仕組み
ISMS認証を公正に行うにあたり、国際的な枠組みとして「ISMS適合性評価制度」が設けられています。
同制度では、認証に関して次の3つの機関が用意されています。
認証機関 | 企業のISMSを審査(認証審査)するための機関 |
認定機関 | 認証機関による審査を確認(認定審査)する機関 |
要員認証機関 | 認証審査を行う審査員に関する認証・登録をする機関 |
ISMS認証を目指す企業に関係してくるのは認証機関です。
認定機関や要員認証機関は同制度が適正に運用されていくために設けられている機関であり、これらの機関から構成されていることにより、ISMS認証の信頼性が保たれているのです。
Pマーク(プライバシーマーク)との違い
ISMS認証と似た制度に「Pマーク(プライバシーマーク)」というものもあります。
同制度に関してはこちらの記事で詳しく説明しています。
その違いとしては、①国際規格かどうか、②認証の対象、③審査の対象の大きく3つが挙げられます。
ISMSは国際標準規格であるISOに準拠しているのに対して、Pマークは日本産業規格「JIS」に準拠しています。世界的にアピールをするにはISMSの方が向いているでしょう。
また②に関して、ISMSでは同じ企業でも事業単位で取得することが可能です。これに対してPマークは組織単位での取得になります。
③に関して、ISMSだと幅広く情報資産を対象にきちんと管理体制が整っているのかどうかを審査されますが、Pマークでは個人情報の管理体制に着目されます。
いずれか一方しか取得できないというものではありませんので、両制度で認められていることが示せれば社外からより高い評価を受けることができるでしょう。
ISMS認証を受けるメリット
ISMS認証を受けることで得られるメリットについて見ていきます。
なお、認証を受けることでデメリットが生まれるということはありません。
ただし審査にクリアするまでに労力を要しますし、コストもかかってくるでしょう。いったん認証を受ければそれで終わりというものでもなく、一定期間ごとに更新も必要となります。ISMS認証による恩恵を維持していくには継続的に管理体制を整える必要がありますので、認証を受けること自体のデメリットではないものの、大変な作業になるということは認識しておくことが大切です。
社外からの高い評価・信頼を得られる
ISMS認証を受けていることを示せば、自社が情報セキュリティに対する高い意識を持っていること、その意識に従い適正な管理体制が構築できていること、適切なプロセスが実行できていることを対外的に示すことができます。
その結果、取引に際してのアピールができますし、相手方も安心して取引を始められます。
しかもISMSの場合には国際規格に基づいているため、グローバル展開している企業の役にも立ちます。海外の企業からも一定の信頼を獲得することができるでしょう。特に重要な情報を取り扱うような場面ではISMSの審査にクリアしていることがプラスに働くでしょう。
自社のセキュリティ水準・従業員の意識が向上する
ISMS認証を受けるのは簡単ではありません。
セキュアな環境を構築し、システム運用もリスクマネジメントの観点からきちんと実践されている必要があります。場合によっては大幅な業務改善をすることになるでしょう。
そのためISMS認証を受けようとすることにより自社のセキュリティ水準は向上しますし、従業員のセキュリティに対する意識向上にも寄与します。