JIS Q 27001 と ISMS認証
JIS Q 27000 は、情報セキュリティの「定義」を示す用語集でした。
続いて、JIS Q 27001 について学習していきます。
この 27001 は「要求事項」です。ISMS認証を取得するためには、JIS Q 27001 の要求事項をすべて満たす必要があります。
ISMS認証とは、企業が「弊社ではしっかり情報セキュリティマネジメントをしています」ということを、第三者機関が証明するものです。この第三者機関とは、一般社団法人情報マネジメントシステム認定センターを指しています。
- JIS Q 27001
- ISMS認証
第3講
JIS Q 27000 との違い
まず、JIS Q 27000 との違いを比較しましょう。
- JIS Q 27000 → 情報セキュリティの「定義」を示す用語集
- JIS Q 27001 → ISMSの「要求事項」を定めた規格
読み方は、にまんななせんいち。または、にーななまるまるいち。27000は「0」をまるって読むと、3回まるになるのでゴロが悪いんだけど、27001は「0」をまるって読むことがあるよ
JIS Q 27001とは
JIS Q 27001 は、組織が情報セキュリティを適切に管理・運用するための枠組みを提供する国際規格です。
この規格に従うことで、企業は体系的に情報セキュリティリスクに対処し、重要な情報資産を保護することができます。
情報セキュリティのためのマニュアルこそが JIS Q 27001 です
JIS Q 27001 のPDFも、27000と同様にダウンロード可能です。
参考リンクから JIS Q 27001 を検索すると、PDFファイルが閲覧できます。ID登録をすれば、全ページを閲覧可能。ログインしていない状態では、目次までの閲覧となります。27000と同様、印刷・配布はNGなので気を付けてね
学習では、情報マネジメントシステム認定センターのWebサイトより概要を確認することをおすすめします。
https://isms.jp/isms/index.html
リンク先に記載されている27001の一部を引用させてもらうと、ポイントはこちら。
JIS Q 27001:2023 は、どのような組織であっても必ず適用させる事が必要な要求事項(本文)と、事業の特性により適用除外が可能である要求事項(附属書Aの管理策)で構成されており、広く利用可能な基準としてあらゆる組織に適用できるよう配慮されている。
と記載があります。
つまり、本文は必要な要求事項でどんな企業であっても守らなければいけません。附属書Aの情報セキュリティ管理策に関しては、企業の規模によって調整できる、ということです
附録書Aの情報セキュリティ管理策では、①組織的管理策、②人的管理策、③物理的管理策、④技術的管理策、の4つに分かれています。
企業の規模によって調整できるという事例を、③物理的管理策で例えてみましょう。
社内にサーバルームを置かずにクラウド運用している場合、サーバルームがあった場合は入退管理をしっかりしないといけませんが、クラウド運用の場合は入退管理は不要です。
このように会社の運用状況・規模に基づいて調整ができる項目が、附属書Aの内容です。
ISMS認証について
ISMS(Information Security Management System)認証は、JIS Q 27001 の要求事項(本文)をすべて満たしていることを第三者機関が認証するものです。
冒頭の繰り返しとなりますが、「我が社はしっかりと情報セキュリティマネジメントを行っています!」 ということを、客観的に証明できるのです。
認証マークがあると逆に狙われたりしないかな…
ISMS認証があることで、情報資産を適切に管理していることをアピールできるよね。それも1つの防止策なんだよ
なるほど…。そう言われれば、そうだよね。家の玄関に貼る【猛犬注意】や【監視カメラ作動中】のシールのようなものか…。悪さをする側も、身バレするリスクもあるわけだし
これは別のところで説明するけど、完全な防御は困難なの。適切な対策により、被害を最小限に抑えることができる。情報セキュリティマネジメントの大事なところはそこなんだ。被害を受けることを前提で考えていきましょう、というのが前置きにあるの
ひぃぃぃ…、なんだか恐ろしい…
ここでは、ISMS認証取得のメリットをまとめておきましょう。
- 信頼性の向上
- リスク管理の強化
- 法令遵守
- 競争優位性
- 組織文化の醸成
ISMS認証を取得することで、① 取引先や顧客からの信頼性が向上し、企業の信用力が高まります。また、② 体系的なリスク評価と対策により、リスク管理が強化されます。
さらに、③ 各種法規制への対応力が強化され、法令遵守の面でも安心です。④ 競争優位性も高まり、セキュリティ対策を差別化することで市場での競争力が向上します。
⑤ 最後に、従業員のセキュリティ意識が向上し、組織全体のセキュリティ文化を作り上げていくことができます。
認証取得のプロセス
簡単に、ISMS認証のプロセスを要約します。
- 準備段階: 現状分析、ギャップ評価
- 構築段階: ポリシー策定、リスクアセスメント、対策立案
- 運用段階: 施策の実施、内部監査
- 認証段階: 第三者機関による審査、認証取得
- 維持・改善: 継続的な見直しと改善
学習段階では、認証取得のプロセスがこうあるんだ、と押させておけば問題ありません。全部を丁寧に説明していったら、膨大な量になってしまいますからね。
27000は定義について記載されていて、27001は要求事項について記載がある。ISMS認証を手に入れるためには、要求事項をすべて網羅しないといけない。まず、こちらを抑えておきましょう!
こういったマニュアルがあるのはいいもんだねぇ。抜け、漏れなくマネジメントができるね!
第3講のまとめ
JIS Q 27001とISMS認証は、現代のビジネス環境において欠かせない情報セキュリティの基盤です。この規格に沿って、情報セキュリティマネジメントシステムを構築・運用することで、企業は自社の情報資産を守るだけでなく、社会的にも信頼を獲得できます。
情報セキュリティ対策は、今や選択肢ではなく必須です。
JIS Q 27001を理解して、ISMS認証の取得を目指すことは、企業の持続可能な成長への大きな一歩となります。
全体の情報セキュリティの枠組みが見えてきたかなと思います。それでは、次に「サイバーセキュリティ」という用語について、学習してきましょう!