ISMS認証は取得するべき?セキュリティ担当者なら知っておきたいISMS認証の基礎知識
昨今のセキュリティ意識の高まりを背景に、ISMSの認証を取得する企業も増えてきています。 IT業界では、もはや取得は当たり前に近い感覚であるISMSですが、ISMS認証とはそもそも何なんでしょうか?本稿では、ISMS認証の基本を中心に、取得するメリットと取得までの流れと費用について解説いたします。
ISMS認証とは?
ISMSは、Information Security Management Systemの略で、情報セキュリティ管理のことです。最後のSystemは、そうしたコンピュータシステムがあるという意味ではなく、管理を維持・運用していく仕組みを指しています。要は、ISMSは企業内の情報セキュリティをどのように、どうやって管理していくかのルールを作り、それを実行していき、その実行状況を管理して欠点があれば改善するというループを回して、セキュリティ管理をより確実なものにして行くための仕組みです。
ISMS認証は、こうした仕組みをきちんと構築しているということを外部機関から認めてもらうことです。ISMSは、ISO規格ではISO27001、日本のJIS規格ではJIS Q 27001として規格化されており、日本情報経済社会推進協会が認定する第三者機関によって認証を受けることができます。
ISMSと似たような規格にPMSがあります。PMSはPersonal information protection Management Systemsの略で、個人情報保護管理システムのことです。この認証を受けることを俗に「プライバシーマーク認証を受ける」といい、ISMSと同じく日本情報経済社会推進協会が認定する第三者機関によって認証を受けることができます。
ISMSとPMSの最大の違いは、ISMSは企業が扱う情報全般の管理を目的としているのに対し、PMSは個人情報の保護・管理を目的としている点です。したがって、ISMS認証を取得しても、個人情報を適切に管理していると認定されたことにはなりません。個人情報管理については、別途PMSの認証を受ける必要があります。
なお、ISMS認証は、一度認証されれば永遠に認証され続けるものではなく、3年に一度の定期更新審査を受け、その審査に合格し続けなければなりません。
ISMS認証を取得するメリット
ISMS認証を取得するメリットは大きく二つあります。
まずは、対内的な部分で、社内の情報セキュリティを確保するルールや手順が明確になり、セキュリティリスクを大きく減らすことができます。昨今の企業ではセキュリティ管理は必須であり、我流で管理しても良いのですが、それよりは体系立てられていて実践しやすく、実績も多いISMSを活用する方が簡単で確実です。
もう一つは、対外的にセキュリティ管理のレベルが世界標準を満たしていることをアピールできる点です。セキュリティについては敏感な企業が多く、その管理がしっかりしていることを示せることは大きなメリットです。なかには、ISMS認証取得が仕事を受託するための条件になっているケースもあり、ISMS認証取得の重要性はますます高まっています。
ISMS認証取得の流れと費用
ISMS認証の取得には、まずは社内ルールの整備が必要です。
認証取得以前の話で、社内で情報セキュリティを管理するルールや仕組みがなければ話になりません。ルールが漠然としている、またはルールが散在している状態なら、ISMSのガイドラインをベースに整理していく必要があります。
並行して、どの範囲でISMS認証を取得するのか、認証範囲を検討していきます。
認証はもちろん全社で受けることもできますが、一部門、任意の複数部門だけで認証を受けることもできます。社内で特に情報セキュリティが重要視される部署をピックアップし、まずはその部門だけで認証を受け、慣れたら全社認証を目指すのも現実的です。
また、意外と重要なのが社員教育です。ある程度セキュリティ管理が根付いている企業なら良いのですが、そうでなければまずは社員のセキュリティ意識を改革していく必要があります。これを怠ると、認証取得に成功しても実際に運用できないという事態に陥ります。
なお、ISMS認証に必要な費用は一概にはいえませんが、外部コンサルタントに助言を仰いだりすることを考えると、100~300万円程度は必要になります。
ISMS認証取得は、IT企業ではもはや常識に等しい
ここまでISMS認証取得に関してご説明してきましたが、IT企業の場合は認証取得は必須に近いと考えて良いでしょう。よほど小規模の企業でない限り、取引先からISMS認証取得を要求されることも多いでしょうし、なにより社内で情報セキュリティを管理する仕組みを持たないIT企業は、常に情報漏えいリスクを背負うことになります。ISMS認証取得を検討されている情報部門の方は、ぜひ前向きに検討してください。