ISMSとは?ISO27001との違いは?

ISMSとは?ISO27001との違いは? ISMS・ISO27001

情報セキュリティに関係することを調べようとすると、ISMSとかISO27001などの用語が必ずと言ってよいほど出てきます。この二つの違いはなにか?どんな関係があるのか?戸惑う人も多いことでしょう。

ここでは、ISMSとISO27001の関係性や違いなどについて、以下のことを解説します。

  • ISMSとISO27001の関係と違い
  • ISMSやISO27001が要求する事項
  • ISMSとISO27001の主な対象業種など

ISMSとISO27001の関係と違いや、それらに関連する情報セキュリティの要求事項などを確認したい方などのために、参考となる事項を中心にわかりやすく紹介します。

ISMSとISO27001の関係と違い

ISMSはInformation Security Management Systemの略で、情報セキュリティマネジメントシステムというシステム、つまり仕組みのことです。一方、ISO27001は国際規格ISOが定めた情報セキュリティマネジメントシステム、つまりISMSの要求事項などをまとめた規格になります。

情報セキュリティマネジメントシステムについてのISMSは「仕組み」、ISO27001はその「規格」ということで、両者の内容はほとんど同じと言ってよいでしょう。

世界各国にISMS認証制度がありますが、現在ではISO27001認証取得で統一され、ISMS認証とISO27001認証はほぼ同義語として扱われています。

ISMSはISO27001制定の前から

日本では、情報処理サービス業におけるコンピュータシステムの安全対策を認定する制度として、1981年から「情報システム安全対策実施事業所認定制度」という制度がありました。

しかし、情報システムのセキュリティには技術的対策だけでなくさらに人的なセキュリティ対策を含む組織のマネジメントの確立が必要になってきました。そのような時代のニーズに合わせてISMS適合性評価制度が創設され、平成14年、2002年から運用が開始されていました。

その後、2005年に国際規格のISO27001が制定されると、ISMS適合性評価制度はこのISOに吸収統合されるかたちになりました。現在では実質的にISO27001認証がISMS認証を代表する認証制度になっています。

ISO27001はISMSの国際規格…要求事項は?

ISO27001はISMSについての国際規格ですが、その規格のなかではISOのすべてのマネジメントシステム規格に共通する以下の要求事項が含まれています。

  • 順守すべき規定・手順を明確に定めること
  • 組織の役割やリーダーシップの設定によって、責任・権限を明確にすること
  • 目標や管理のポイントが明確にされ、PDCAによる継続的改善が図れる仕組みになっていること。
  • 内部監査によって、内部からのチェックが有効になっていること
  • マネジメントレビューによって、組織の有効性や改善活動などが担保されていること
  • 是正処置や外部監査、苦情処理などによって、改善の声が有効に取り入れられていること

情報セキュリティに関するISO27001固有の要求事項は、リスク対応の必要性を中心にして規格の各章に定められています。この要求事項は、ISMSで情報管理の三原則とされている「機密性」、「完全性」、「可用性」を満たすことを目的にして制定されています。以下で3つの原則の解説をします。

  • 機密性:許可した者以外に情報を使用されないようにすることで、不正アクセス対策が代表的な例でしょう。
  • 完全性:情報を正確かつ最新の状態で管理することで、データ入力のダブルチェックなどが対策の一例です。
  • 可用性:必要な情報を必要なときに利用できるようにすることで、データのバックアップなどが対策例になります。

実際の運用ではPDCAによる継続的な改善が要求されますが、ISMSでの特徴としてリスクアセスメントやリスク対応を取り入れた活動が求められています。

ISMSやISO27001の認証取得企業は?

ISMSやISO27001の取得はどのような業種が対象になるでしょうか?

情報を扱う企業と言えば、すべての業種にも当てはまります。ただ、情報セキュリティの面を考えるとIT企業など情報技術系の企業が多くなるでしょう。おもな対象業種や認証取得企業数のデータなどを紹介しましょう。

主な対象業種

ISMSやISO27001認証は、情報セキュリティのリスクが考えられる企業や組織であれば、その規模の大小には関係ありません。情報の機密性や漏洩が特に問題になり、取引条件に認証取得があげられるような業種では必須になります。

以下が主なISO27001/ISMSの認証取得の対象業種になります。

  • 情報技術系IT業界
  • 人材派遣業界
  • 医療業界、福祉業界
  • 印刷業界
  • 建設業界
  • 小売、卸売業界

これらのどの業界も、その顧客の機密情報や個人のプライバシー情報などを知り得る機会があるということで共通しています。取引では機密保持契約などの締結が一般的になっていますが、さらにISMS認証取得を取引条件とする企業も増えています。

取得企業数は年々増加

日本でのISMS、ISO27001認証は、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が認定した認証機関(2020年時点で27機関)の審査によって行われます。

ISMS適合性評価制度の運用が始まった2002年のISMS認証取得企業数は144件でしたが、直近の2019年には6605件にまで増えています。

ISOのマネジメントシステム規格には情報のISMSの他、品質(QMS)や環境(EMS)などがあります。公益財団法人日本適合性認定協会(JAB)の統計資料によるそれぞれの規格の認証取得組織数を下表に示します。

調査年月情報セキュリティマネジメントシステム(ISMS)品質マネジメントシステム(QMS)環境マネジメントシステム(EMS)
2019年3月66054332422574
2017年9月60514552623657
2015年6月50684782125158
2012年6月43244971326157
ISMS、QMS、EMS規格の認証取得組織数(JAB統計資料)

ISMSは品質や環境と比較すると取得組織数はまだ少ないですが、品質や環境が減少傾向であるのに対し、年間300件ペースで増加しています。今後も取得組織数は確実に増えることが予想されます。

まとめ

ISMSは情報セキュリティのシステム、仕組みのことで、ISO27001はそのISMSの要求事項をまとめた国際規格であることなどを紹介しました。仕組みと規格の違いはありますが、その要求事項などの内容はほぼ同じであることがおわかりいただけたでしょうか。

情報化社会が高度化して進むなかで、これからISMSの必要性はますます高まることでしょう。情報セキュリティは品質や環境と比較すると目に見えにくく馴染みにくいものです。認証取得を検討するときには認証サポートの専門家などのコンサルティングを受けるのも効率的でしょう。

ISOナビでは月額4万円から取得・運用を完全サポートしております。

HACCPやISMS、Pマーク、ISO9001をはじめとする各種規格の新規の認証取得から更新・運用までサポートしております。

業界最安級の月額4万円からご利用いただけ、対応工数のゼロ化を実現します。

まずは無料相談からお気軽にお問い合わせください。

この記事を書いたライター
hikaruta

ISO9001:94年版での認証取得に関わって以来、ISO14001や医療機器品質のISO13485の認証取得・運用に深く携わり、ISOに翻弄、鍛えられたビジネスライフを経験。一線を退き、反省なども込めてISOを見つめ直しています。

hikarutaをフォローする
ISMS・ISO27001
ISOナビ
トップへ戻る
タイトルとURLをコピーしました