ISO/IEC 27001
Information Security Management System
ISO/IEC 27001
情報セキュリティ
マネジメントシステム
の認証
情報セキュリティ
マネジメントシステム
の認証
ISO/IEC 27001 Information Security Management System
ISO/IEC 27001規格とは
何ですか?
何ですか?
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
組織が保有・取り扱う情報資産を対象に、 情報セキュリティ上のリスクを把握し、適切に管理・改善していくための
枠組みを示しています。
リモートワークやクラウドサービスの利用が一般化する中で、 情報セキュリティは特定のIT部門だけの課題ではなく、
経営リスクの一部として組織全体で管理すべきテーマとなっています。
ISO/IEC 27001は、 「特定の対策を一律に実施すること」を求める規格ではありません。
組織が自らの業務内容、情報の重要性、リスクの大きさを踏まえ、 リスクベースで情報セキュリティを管理する仕組みが
構築・運用されているかを重視しています。
この規格では、
情報資産の
・機密性(Confidentiality)
・完全性(Integrity)
・可用性(Availability)
を確保することを基本原則とし、 必要な管理策を選択・適用するための考え方を示しています。
組織が保有・取り扱う情報資産を対象に、 情報セキュリティ上のリスクを把握し、適切に管理・改善していくための
枠組みを示しています。
リモートワークやクラウドサービスの利用が一般化する中で、 情報セキュリティは特定のIT部門だけの課題ではなく、
経営リスクの一部として組織全体で管理すべきテーマとなっています。
ISO/IEC 27001は、 「特定の対策を一律に実施すること」を求める規格ではありません。
組織が自らの業務内容、情報の重要性、リスクの大きさを踏まえ、 リスクベースで情報セキュリティを管理する仕組みが
構築・運用されているかを重視しています。
この規格では、
情報資産の
・機密性(Confidentiality)
・完全性(Integrity)
・可用性(Availability)
を確保することを基本原則とし、 必要な管理策を選択・適用するための考え方を示しています。
ISO/IEC 27001認証の意義
ISO/IEC 27001認証は、
情報セキュリティ管理の仕組みが、
国際規格に基づいて適切に構築・運用されていることを
第三者の立場から客観的に示すものです。
財務情報、個人情報、知的財産、取引先から預託された情報など、 組織が扱う情報の種類や重要性は多岐にわたります。
ISO/IEC 27001は、 これらの情報を組織的・体系的に管理していることを示す 一つの信頼指標として活用されています。
また、GDPR(EU一般データ保護規則)など、 各国・地域の情報セキュリティ関連法令や要求事項への対応を
整理する枠組みとしても有効です。
第三者の立場から客観的に示すものです。
財務情報、個人情報、知的財産、取引先から預託された情報など、 組織が扱う情報の種類や重要性は多岐にわたります。
ISO/IEC 27001は、 これらの情報を組織的・体系的に管理していることを示す 一つの信頼指標として活用されています。
また、GDPR(EU一般データ保護規則)など、 各国・地域の情報セキュリティ関連法令や要求事項への対応を
整理する枠組みとしても有効です。
ISO/IEC 27001認証に
よる主な効果
よる主な効果
ISO/IEC 27001を導入・運用することで、
次のような効果が期待されます。
・情報セキュリティリスクの体系的な管理 情報漏えい、改ざん、紛失などのリスクを把握し、 優先順位を付けて管理することが可能となります。
・顧客・取引先からの信頼性向上 情報を適切に管理している組織であることを、 第三者認証として対外的に示すことができます。
・法令・契約要求事項への対応強化 情報セキュリティに関する法令や契約条件への対応状況を 一元的に管理できます。
・情報セキュリティ事故の予防と対応力向上 インシデントの未然防止および、 発生時の迅速な対応体制の構築につながります。
・サイバー攻撃への耐性向上 技術面だけでなく、 組織・人・プロセスを含めた対策が可能となります。
・他のマネジメントシステムとの統合 ISO 9001 や ISO 14001 など、 他規格との統合運用が容易です。
・情報セキュリティリスクの体系的な管理 情報漏えい、改ざん、紛失などのリスクを把握し、 優先順位を付けて管理することが可能となります。
・顧客・取引先からの信頼性向上 情報を適切に管理している組織であることを、 第三者認証として対外的に示すことができます。
・法令・契約要求事項への対応強化 情報セキュリティに関する法令や契約条件への対応状況を 一元的に管理できます。
・情報セキュリティ事故の予防と対応力向上 インシデントの未然防止および、 発生時の迅速な対応体制の構築につながります。
・サイバー攻撃への耐性向上 技術面だけでなく、 組織・人・プロセスを含めた対策が可能となります。
・他のマネジメントシステムとの統合 ISO 9001 や ISO 14001 など、 他規格との統合運用が容易です。
ISO/IEC 27001における
主な要求事項
主な要求事項
ISO/IEC 27001では、組織に対して次のような事項が求められます。
・情報セキュリティリスクの特定および評価
・組織の内外の課題および利害関係者の理解
・情報セキュリティ方針の策定と周知
・情報セキュリティ目標の設定および管理
・適用性声明(SoA)の作成
・リスク処理計画および管理策の実施
・教育・訓練および力量の確保
・情報セキュリティパフォーマンスの監視・測定
・インシデントおよび不適合の管理と是正処置
・内部監査およびマネジメントレビューの実施
これらは、 情報セキュリティを日常業務の中で継続的に管理するための仕組み として運用されることが重要です。
・情報セキュリティリスクの特定および評価
・組織の内外の課題および利害関係者の理解
・情報セキュリティ方針の策定と周知
・情報セキュリティ目標の設定および管理
・適用性声明(SoA)の作成
・リスク処理計画および管理策の実施
・教育・訓練および力量の確保
・情報セキュリティパフォーマンスの監視・測定
・インシデントおよび不適合の管理と是正処置
・内部監査およびマネジメントレビューの実施
これらは、 情報セキュリティを日常業務の中で継続的に管理するための仕組み として運用されることが重要です。
ISO/IEC 27001認証に必要な主な文書・記録
認証にあたっては、以下の文書・記録が体系的に整備されていることが求められます。
・情報セキュリティ方針
・適用性声明(Statement of Applicability)
・ISMSに関する文書(マニュアル等)
・情報セキュリティリスク評価およびリスク処理の記録
・情報セキュリティ目標および管理計画
・不適合および是正処置の記録
・内部監査およびマネジメントレビューの記録
・情報セキュリティ方針
・適用性声明(Statement of Applicability)
・ISMSに関する文書(マニュアル等)
・情報セキュリティリスク評価およびリスク処理の記録
・情報セキュリティ目標および管理計画
・不適合および是正処置の記録
・内部監査およびマネジメントレビューの記録
認証実績
Certification results
認証申請手順
Application procedure
TQCSI認証ルール
(PDF)
Authentication rules
