HOME > ISO構築/有効性向上教育研修 > ISO27001(ISMS)

情報セキュリティマネジメントシステム(ISMS)規格
ISO27001(ISO/IEC27001)

ISO27001(ISO/IEC27001)は、英国のBS7799-2「情報セキュリティマネジメントシステム―仕様及び利用の手引き」を基に策定された、情報セキュリティマネジメントシステム(ISMS=Information Security Management System)の国際標準規格です。

ISMSの意義

ネットワーク社会の進展や情報通信システムの普及により、それらのセキュリティを管理するシステムの重要性は増大しています。不正アクセスやコンピュータ・ウイルスによる業務の中断や情報漏洩など、情報セキュリティ事故の問題が急激に増加しているからです。企業・団体など組織が保有するさまざまな情報は、いまや情報資産という組織の保護するべき大事な資産になっています。この資産は、外部からの攻撃や内部関係者による情報漏洩やミスによる事故など、あらゆるリスクにさらされているのです。

こういったあらゆるリスクを想定して、各企業や組織が主体的にその所有する情報の価値を理解して自らリスク管理を行い、情報の重要度にあったセキュリティレベルを定めて情報漏洩防止の具体的プランを保持してセキュリティシステムを運用していくことは、いまや組織の社会的責任になりつつあります。

プライバシーマーク(JISQ15001)とISMS(JISQ27001)の違い

プライバシーマークは、JISQ15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」に適合し、個人情報を適切に保護していることを示すマークです。JIPDEC又はJIPDECが指定する機関に申請し、審査を経て付与(認定)されます。

プライバシーマークは、組織が扱う個人情報の使用目的を明確にし、個人情報を提供する主体の権利を適切に保護することを目的としているのに対し、ISMSは、組織が保有する情報資産について、現存・潜在するリスクを特定し、そのリスクを誘引する脆弱性を特定した上で情報資産の保護策を策定するものである点が特徴となっています。

ISO/IEC27001が国際標準規格であるメリット

海外拠点の業務プロセスの標準化においては、用語の定義や明確な規程の共通理解が必要です。国際標準規格を利用すれば、日本の本社で策定した用語や規程を翻訳して海外拠点の言語に置き換える方法より確実に統一ができ、グローバルな展開が可能です。

ISMSとBCMS

情報セキュリティマネジメントの実践規範であるISO27002(ISO/IEC27002)は、情報や情報処理施設に関する損失を受容可能なレベルとするため、事業継続マネジメント(BCM)を実施することが望ましいとしています。 ISMSとBCMSは相互に関連しているため、統合的な運用が可能です。現状のBCMSに不安がある場合は、ISO27001の認証登録に併せて強化することをご検討ください。同時に見直しを行うことで、より効率的に、より有効なシステムを構築することができます。