ISMS認証取得までの流れとメリット・デメリット

ISMS・ISO27001

ISMS認証とはInformation Security Management Systemの頭文字を取った略称です。
情報セキュリティマネジメントシステムのことを指し、一般財団法人日本情報経済社会推進協会の認定機関から認証を受けることで取得できます。

ISMS認証はISO27001とも呼ばれており、これらは同じ制度と考えて良いでしょう。
近年では企業の情報漏洩問題が深刻化しており、現代は個々の情報セキュリティマネジメントシステムの向上が求められている時代です。

2002年から運用を開始したISMS認証は、現在ではプライバシーマークと共に情報セキュリティの2大認証制度として認知されています。

ISMS認証を取得するまでにはどのような段階を踏まなければならないのか、またISMS認証を取得することで得られるメリットとデメリットについてもまとめました。

ISMS認証を取得するまでの流れ

ISMS認証を取得するためには、準備期間として半年から1年程度の期間が必要になります。どのような流れでISMS認証取得の準備を進めていくかを見ていきましょう。

1.取得する範囲を決定する

ISMS認証は会社全体でだけでなく、支店だけ、もしくは部署だけでも取得が可能です。
そのため、全社を適用範囲(全社認証)にするのか、支店もしくは部署など限られた適用範囲(部分認証)にするのかを決定する必要があります。

2.情報セキュリティマネジメントの方針を決定する

会社としてどのように情報セキュリティマネジメントに取り組んでいくか方針を決めます。個人情報や企業情報の保護に重きを置くのか、情報セキュリティマネジメントの効率性に重きを置くのかも決定すべきです。

3. リスクの洗い出しと対策を検討する

まずは会社で管理している顧客情報や企業情報など、ISMS認証の適用範囲となる情報を洗い出します。 ISMSの114個の管理策について検討し、会社に合った情報セキュリティの管理方法を固めていきましょう。 情報セキュリティを管理していく上でどのようなリスクが考えられるかを検討し、顧客情報や企業情報ごとに一つひとつ対策を検討しなければなりません。

対策方法を検討した上で判断しかねるリスクがあった場合には、経営陣に対して提示し承認を得る必要があります。

4.ISMS認証に関する文書を作成する

ISMS認証の審査に必要となる書類だけでなく、ISMS認証を運用していくにあたって必要な管理システムや手順などマニュアルを文書としてまとめます。

5.適用範囲の社員に向けて教育の実施

ISMS認証の概要、会社が管理していく情報やそれに対する管理方法など今後の方針を適用範囲内の社員に向けて社員教育を実施します。

適用範囲が会社全体であれば全社員に向けて、適用範囲が支店や部署のみであれば適用となる社員に向けて行います。

6.内部監査の実施

ISMS認証に基づく情報管理が行われているか、内部監査での確認を行います。内部監査は企業内の人員が実施することが通常です。

7.成果報告をする

これまで行ってきた情報セキュリティマネジメントの構築の成果報告を経営陣に向けて行います。また、問題点や今後の課題についても話し合い、改善につなげていきます。

8.ISMS認証のための審査を受ける

いよいよISMS認証を取得するための審査を受けます。審査は文書審査と現地審査の2段階で行われ、ISMSの規格を満たしているか、運用状況等から確認します。審査を無事にクリアできれば、ISMS認証の取得となります。

ISMS認証取得で得られるメリット

会社や組織においてISMS認証を取得することで得られる最大のメリットは、顧客に対する安心感の提示です。

情報管理が当たり前の世の中ですが、一般的にその会社や組織内においてそれがどのように行われているかは不明確な部分でもあります。
しかし、国際規格であるISMS認証を取得することで情報セキュリティマネジメントが担保されているその安全性をアピールすることができます。

ISMS認証の取得は企業の信頼にも繋がるため、大きなメリットと言えるでしょう。
また、ISMSを運用していく上でISMS認証の概要や会社としての情報セキュリティ管理体制について教育を行うため、これによって社員全体の情報管理に対する意識が向上します。
ISMS認証の運用を会社全体で進めていくことから、情報漏洩に関するリスクが低くなります。

いまや情報漏洩はたった1度でも企業存続の危機ともなりかねないため、そのリスクを低減することは企業の維持存続にとっても大変重要なことです。

ISMS認証取得のデメリット

ISMS認証を取得するにあたってのデメリットとしては、コストが増えることと、専門人員リソースの追加もしくは現場の人員への業務負荷が掛かることが挙げられます。

ISMS認証にかかるコストとして、最低でも50万円から100万円程度の費用が必要になります。
それに加えてISMS認証取得後も1年に1回の維持審査、3年に1回の更新審査を受けなければならず、その度に費用が必要になります。

このように認証にあたってのコストだけでなく、運用を維持していくためのコストも発生します。
また、上記に述べたとおりISMS認証の準備だけでも半年から1年程度の期間が必要となりますが、その後の運用においても絶えず人員の運用リソースが必要となる点もデメリットと考えられるでしょう。

まとめ

ISMS認証はコスト面及びにリソースや業務負荷の面でのデメリットがあるものの、他社との差別化を図るためには取得しておくべき認証制度と言えます。

現代では企業の情報セキュリティマネジメントは当たり前となっており、たった1度の情報漏洩が企業にとっての致命傷になります。

企業の信頼を高めるためにも、ISMS認証を検討してみてはいかがでしょうか?

トップへ戻る
タイトルとURLをコピーしました