トピックス
1.ISO27001とは?
※ISO27001は、正確にはISO/IEC27001と言います。ここでは略称で呼びます。
ISO27001は、情報の正確さを確保しつつ、使うときには使いやすくし、かつ、情報が漏洩したり、盗まれることがないようにするために
何をしたら良いかを定めた国際規格です。
「仕事を発注したいが情報が漏洩したら困る」そのようなお客様に安心して仕事を発注してもらうためには、預かった機密情報が漏れないようにしっかり管理する必要があります。
そのようなことをしっかりやっている会社であることの証明のためにISO27001の認証取得があります。
2.ISO27001を取得するには?
次の様なことをやることになります。
1.社内にどのような情報があるかを調査し、大事な情報がどれであるかを特定します。
2.大事な情報を見られたり、盗まれることがないように、対策方法を定めます。
3.必要なマニュアル類と帳票類を作成します。
4.マニュアルで定めたことを実施し設定した記録を残します。
5.審査を受けます。(審査は1次審査と2次審査があります)
3.どのようなマニュアルが必要か?
次のマニュアルが最低必要です。
1.ISMSマニュアル(情報を管理するための全体像を書いたマニュアル)
2.運用マニュアル(詳細管理策をまとめたもの) ※呼び方は会社によって大きく異なります。
3.適用宣言書(114の管理策をどのように適用するかを決めた説明書、読み物ではない)
4.帳票類(記録を残すための帳票)
分厚いマニュアルは、次のような問題を生じます。
■ 作るのに多くの時間が必要。
■ 読んでも何が書いてあるか分からない。
■ 作った人でも、どこに書いたか分からない。
■ 皆も読もうとしない。
■ 社内に活動が浸透しない。
■ 不整合が出やすく修正や改訂に時間がかかる。
■ 事務局やISOメンバーもいやになる。
■ 後継者に引き継ぐのが困難。
このようなことになりがちで、良いことは全くありません。そこで弊社がお勧めしているのが『超コンパクトISO』です。(超コンパクトISOとは?)
下の写真をご覧ください。
← これが超コンパクトISOです。
薄いので丸めて持てます。
読みやすく、分かりやすいのが特徴です。
マニュアルの総ページ数は60頁前後で済みます。
※お客様の好みによっては多めに作ることがあります。
← これが従来型のマニュアルです。
すごいだろうと自慢するには良いかも知れません。
総ページ数が500頁を超えるものも見ました。
こんなに多いと、全体像がわかりません。
読んでも読んでも終わりません。
記憶に残らず、誰も読もうとしません。
社内のルールとして機能しない。
維持するのも、たいへん!
4.ISO27001取得の準備ステップと期間は?
ISO27001取得の大きな流れは次の通りです。
情報資産の洗い出し+リスク評価を行う
1~2ヶ月
ISMSマニュアル+運用マニュアル+適用宣言書+様式を作る
3~4ヶ月
ISMSマニュアルと運用マニュアルに書いた通りに運用を開始する。
3ヶ月後(PDCAが1回転後)
1次審査を受ける。
1ヶ月後
2次審査を受ける。
1ヶ月後
判定委員会 合否が決まる
合計すると準備開始から認証取得までは、8ヶ月~12ヶ月と言うところです。ただし支援方法やお客様によって期間は変動します。目安とお考えください。
5.ISO27001取得のメリットは?
- 取得し全員がまじめに取り組むことで得られるメリットとして次のことが挙げられます。
- 情報漏洩の危険性が少なくなり、お客様に信用or信頼されるようになります。
- 新規顧客開拓に有利になり、受注しやすく、売上が増えます。
- 情報セキュリティに対する会社の方針が明確になります。
- 労働意欲・モラールが高まります。
- 働く人の責任と権限(役割分担)が明確になります。
- 人材育成の仕組みができ、人が育つようになります。
- 新入生に自社の情報セキュリティの取り組みを、皆が説明できるようになります。
- 仕事をした記録がすぐ取り出せるようになります。
- 取引条件がクリアでき安心できます。
- 名刺やパンフレットにISOの認証マークが入れられるようになりPRが可能になります。
- 仕事に対する自信につながります。
- トラブルがあった場合、原因が追い易くなります。
6.よく見受ける間違いは?
間違った取り組みをすると、やる必要がないことをやってしまったり、過剰な設備投資をしたり、過剰な管理で仕事に支障を生じたりと、大変なことになります。よく見受けるケースを書くと…………、
- ISO27001規格書の解釈を間違っていることが原因で大変なことになっている。
- 重厚長大型の分厚いマニュアルを作っている。
- 過剰な取り組みをしている。
- 情報資産を細かく出しすぎている。
- 必要がないのに管理策が多くなっている。
- 過剰な装置を導入している。
- そこまでやる必要がないのにやっている。
- 必要もないのに絶対やらないといけないと思い込んでいる。
- お金と時間を掛け過ぎている。
- 過剰な手続きをしているケースや過剰な記録を残している。
ISO27001を難しく考えると本当に難しくなります。難しく考えないようにしましょう。
7.ISO27001の導入を成功させる7つのポイント
導入を成功させるためのポイントを挙げると次の7つが挙げられます。
- 良いコンサルタントを選ぶ。
- マニュアルはやさしくコンパクトにまとめる。
- 社内で働く人のセキュリティに対する意識を高めることが大切
- やれることをルールにする。
- PDCAの管理サイクルを確実に回す。
- 問題があったら決められた通り報告すること。クレーム隠しはだめ。
- 管理策を設定する時は智恵を使って工夫する。
『取る前に読む本 ISO27001』で詳しく解説しています
もっと詳しく知りたい方は、『取る前に読む本 ISO27001編』をお求めください。
規格要求事項の解説もついています。
初めてISO27001取得に挑戦される方にお勧めの書籍です。
※ISO27001:2013(JISQ27001:2014)対応
※旧版につき、今だけ無料提供中
「取る前に読む本 ISO27001編」資料紹介・申込みコーナーはこちらです
ISO27001導入ミニセミナーをやっています。
ISO27001取得の全体像がわかります。
導入に失敗しないようにするための予備知識を習得できます。
全国どこでも受けられます。(訪問の場合、交通費はご負担をお願いしております)
詳細はISO導入ミニセミナーページへ
コンサルティング見積依頼受付中
新ISO27001認証取得コンサルティングの見積依頼は下の見積依頼書に記入してお送りください。
ISO27001のコンサルタントは、福岡、神戸、名古屋、東京、札幌にいます。情報系出身のベテランが揃っているのでご安心ください。
ISO27001コンサルティング見積依頼
※お役立ち情報
ISO27001
スイスのジュネーブに本部を置く非営利法人・ISO(International Organization for Standardization/国際標準化機構)が発行したマネジメントシステムの国際規格には、第二次世界大戦後の1950年代を起源とする品質マネジメントシステムのISO9001や地球サミット(1992年)をきっかけに誕生した環境マネジメントシステムのISO14001などがあります。インターネットが発展する情勢を受けて2005年に制定されたISO27001(正式名称ISO/IEC 27001)はまだ新しく、情報セキュリティマネジメントシステムとしてこれからますます必要性が高まるでしょう。ここではISO27001の内容や認証取得するまでの流れ、またどのような企業・業態が導入しているのかを説明します。
1.ISO27001と個人情報保護の違い
個人情報保護法(個人情報の保護に関する法律)は2003年に制定され2005年から施工されており、ISO27001と同じような時代背景から生まれたことが分かります。しかし個人情報保護法における「個人情報」が生存する個人に関する「氏名、生年月日、住所、顔写真」など特定の個人を識別できる情報であるのに対してISO27001はより広範囲の情報を対象にしています。メールアドレスもユーザー名やドメイン名により特定の個人を識別することができる場合はそれ自体が個人情報に該当することなどから、ISO27001とイメージが似ているため混同しないよう注意が必要です。
日本ではISMS(Information Security Management System/情報セキュリティマネジメントシステム)が2002年から運用されるなか、2005年にISO27001が制定されました。ISMSが「仕組み」ならばISO27001はその「規格」と捉えられ、内容はほぼ同じなのでISO27001(ISMS)と表記することもあります。
2.マイクロソフトとISO27001
Microsoft社が提供するサービス、Microsoft365 (旧称: Office365)はセキュリティ対策の1つとしてISO27001などISO基準に準拠しており「Microsoft が ISO/IEC 27001 認定を達成していることは、ビジネス、セキュリティ、およびコンプライアンスの観点から顧客との約束を果たすために Microsoft が尽力していることをはっきりと示しています」(日本マイクロソフト公式サイト「ISO/IEC 27001:2013 情報セキュリティ管理基準」より)と明記しています。インターネット社会を牽引する大企業が重視していることからも、サイバーセキュリティ対策をはじめとする情報セキュリティマネジメントシステムがいかに注目されているかが分かります。
企業はISO27001認証取得することにより、組織の意識改革や知識向上につなげることができます。トップやISO担当者だけでなく全スタッフの教育、認識の一致が求められているからです。導入する過程で全体が同じ方向性を共有しながら情報セキュリティに関する知識を学び、遵守すべき法令についても触れるのでコンプライアンス意識の向上が期待できます。
3.ISO27001取得までの流れ
ISOはマネジメントシステムにPDCAサイクルを取り入れているのが特徴で、ISO9001およびISO14001でもPDCAの運用が要求事項となっておりISO27001も例外ではありません。PDCAサイクルとは「Plan/計画」→「Do/実行」→「Check/評価」→「Action/改善」を繰り返す手法です。
ISO27001の構成は「まえがき」からはじまり「0.序文」から「10.改善」まで項目が示されて最後は「附属書A(規定)」となります。そのうちPlanは「4.組織の状況」「5.リーダーシップ」「6.計画」で、Doは「8.運用」、Checkは「9.パフォーマンス評価」、Actionは「10.改善」にあたります。このようにPDCAサイクルを回して改善を続けることは認証取得に不可欠ですし、なにより組織の発展につながります。
認証取得に関して外部コンサルタントに依頼した場合は「打ち合わせ・見積り(審査費用など)」→「申込書提出」→「契約」→「審査費用支払い」→「第一段階審査」→「第二段階審査」→「認証取得」という流れになります。第一段階審査までには「情報資産の洗い出し」、「リスク評価」、「ISMSマニュアルの作成と運用」そしてPDCAサイクルの構築などが必要となり、自社だけで準備するのは難しいかもしれません。
4.どのような企業・業態がISO27001を導入しているのか
情報技術が高度化するなか不正アクセスやコンピュータウイルスなどのサイバー攻撃、それによる情報漏洩といった脅威への対策として制定されたISO27001だけに、導入するのはIT関連企業が多いです。情報システム設計開発、データ入力サービスといった業種が目立ちますが、なかには食品関連や運送業なども認証取得しています。今やほとんどの業態がインターネットを使っているということでしょう。
アイソ・ラボ株式会社