ISO 27001(情報セキュリティ)
情報セキュリティマネジメントシステム
ISMS(information security management system)
JIS Q 27001:2014(ISO/IEC 27001:2013)27001:2022
情報セキュリティマネジメントシステム(ISMS)とは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することです。情報セキュリティのポリシーを策定し、保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが、ISMSの基本コンセプトです。
ISMSの審査
- 1)契約
審査を開始するに当たっては、MSAとの審査契約が必要となります。 - 2)第一段階審査
審査チームが、ISMS文書のレビューなどから組織のマネジメントシステム構築状況を確認し、第二段階審査の準備状況を評価します。 - 3)第二段階審査
審査チームが、組織が定めた基本方針及び手順の順守状況を確認し、ISMSの実施状態を評価します。 - 4)認証
審査チームリーダより提出された審査結果報告書に基づいて、認証決定会議において対象組織を(登録)認証するかどうかが判定されます。(登録)認証可の判定に基づいて、登録証を発行します。
よくあるご質問
- ISMSの審査を受けるまで、何をしておく必要がありますか?
- 認証基準JISQ27001に従ってISMS文書を作成し、運用を開始している必要があります。また、第二段階審査までに内部監査、マネジメントレビューを終了しておく必要があります。
- 費用はどのくらい必要ですか?
- 費用は、組織の人数を基にしますが、リスクの大きさなども考慮して最終的に決定されます。
お見積り致しますので、どうぞお気軽にご依頼下さい。
- ISMS文書を提出してから登録証をもらうまでどのくらいの期間がかかりますか?
- 組織の準備および運用状況によって変化しますが、ISMS文書を提出いただいてから約4ヶ月程度で登録されるケースが多いようです。
ISMSの主な規格について
ISMSの主な規格には次のようなものがあります。
ISO/IEC27000
<情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-概要及び用語>
ISO/IEC27001
<情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項>
ISO/IEC27002
<情報技術-セキュリティ技術-情報セキュリティマネジメントの実践のための規範>
ISO/IEC27003
<情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-導入に関する手引き>
ISO/IEC27004
<情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-測定>
ISO/IEC27005
<情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-リスクマネジメント>
ISO/IEC27006
<情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-認証機関に対する要求事項>
ISO/IEC 27017
<情報技術-セキュリティ技術-ISO/IEC 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範>
ISO/IEC 27701
<情報技術―セキュリティ技術―プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張―要求事項及び指針>
