ISMS認証とは
「ISMS」とは、情報セキュリティマネジメントシステム(Information Security Management System)の略で、「アイエスエムエス」と読みます。「イスムス」と呼ばれることもあるようです。
その認証というのは、「この会社は情報セキュリティを管理する体制が整っていますよ」と、認証機関に認めてもらうものです。
ISMS認証とPマーク(プライバシーマーク)の違い
情報セキュリティ関連の認証でよく比較されるのがPマーク(プライバシーマーク)です。それぞれこのような違いがあります。
ISMS認証 | Pマーク | |||
|---|---|---|---|---|
概要 |
| 組織が情報資産を適切に保護し、リスク管理や継続的な改善を行う仕組みを構築していることを認証する |
| 企業が個人情報保護法に基づき、個人情報に対して適切な措置を講じていることを認証する |
地域 | 全世界共通 | 日本国内のみ | ||
規格 | 国際規格 ISO/IEC 27001 | 日本工業規格 JIS Q 15001: 個人情報保護マネジメントシステム | ||
更新 | 3年ごとに更新審査、その間は毎年維持審査 | 2年ごと | ||
ルール | 組織に合わせて作成できる | 法律に準拠した基準がある | ||
考え方 | 組織が持つ情報資産を管理する | 個人情報を保護する |
ISMS認証は「会社や組織が、しっかり自分たちで情報を管理できているか」を見るのに対し、Pマークは「日本の個人情報保護法を守って、顧客などの個人情報が守られているか」を見るものになっています。
自社の状況や目的に合わせて、合うほうを選ぶと良いです。(両方取得することもできます)
認証はどんなときに必要?
一般的には、「取引先やお客様から求められて」「事業を行うのに必要だったから」といった理由で認証が必要になることが多いようです。
特に、日本国内の取引ではPマークを求められることもあるようです。
インターグでは、認証を取得しなければ理由があったわけではなく、情報セキュリティの体制を整える目的で、設立4年目のときに取得することにしました。
認証審査を経ることでセキュリティの改善ポイントが洗い出されるので、結果的に認証を取得してとても良かったと感じています。
認証を取得するまで
何から始めたらいい?
社内に情報セキュリティの専門家がいれば良いのですが、いない場合は一体何から始めたらいいのかわかりませんよね。でも、ほぼ素人の筆者でもなんとか進められたのできっと大丈夫です!
おすすめは、補助金・助成金制度を探すことから始めることです。
補助金・助成金の制度によって対象になる範囲が異なったり、費用を払う前に補助金を申請しなければならなかったりするので、どこまで補助対象になるのかを最初に把握しておくことを推奨します。
独立行政法人 情報処理推進機構(IPA)のWebサイトに、情報セキュリティ関連で利用可能な補助金・助成金一覧が掲載されているので、会社の所在地や内容によって検討してみてください。
インターグでは、港区の「ISO等取得支援事業補助金」を申請しました。ISMSの審査料だけでなく、コンサルタント委託費用も対象に入っているので、その点の費用も安心して進めることができました。
コンサルタントに委託しなくても認証取得はできますが、かなり難易度が高いと思います。なぜかというと、ISOの規格文書は専門的で難解なので、それに則った規程を作成するのは初めてでは不可能に近いためです。これからISMS認証を取得する企業の方は、はじめはコンサルタントに委託し、自社内で運用できそうになったら自走するというのをおすすめします。
ちなみにインターグでは「IsoPらぼ」さんに依頼してISMS認証の取得・維持・更新をしています。当社の事業や使用ツールを踏まえて、会社に合ったセキュリティ管理体制を提案していただけるので、非常に頼れる存在です。(回し者ではないので(笑)、コンサルティング業者の選定に迷ったときはご参考にしていただければと思います。)
認証取得までの期間はどれくらい?
ISMS認証を取得するまでは、最低4ヶ月、平均6ヶ月から1年と言われています。
理由として、認証機関の審査員のスケジュール確保のために数ヶ月かかること、その間に社内規程の整備や内部監査を行うこと、審査のための書類を作成する必要があることなどがあります。
社内の規程などが整ってきたら、早めに認証機関にコンタクトをとって審査日程を確保するのが良いです。
費用はいくらかかる?
認証の範囲(=認証を取得する組織の人数規模)によりますが、50万円〜180万円程度になるようです。また、毎年維持審査または更新審査のいずれかを実施しなければならないので、毎年発生してきます。
このほか、コンサルティングを依頼したり、新しいシステムを導入したりする場合は別途費用が発生します。
インターグがISMS認証を取得するまでの流れ
インターグの場合はこんなスケジュールでした。
2021年2月 | 代表から「ISMS認証かPマークを取得したい」と提案 | |
|---|---|---|
2021年3月 | 補助金を調べる | |
2021年7〜9月 | IsoPらぼにコンサルティング依頼、規程類作成 | |
2021年10〜12月 |
| 社内教育、内部監査実施 |
2022年3月 | 認証審査 | |
2022年4月 | 認証取得 |
約10カ月かかっていますが、本業のメディア運用をしながらでも余裕をもって進められたスケジュールでした。
ISMS認証取得のメリット・デメリット
振り返るとこんなメリット・デメリットがありました。
メリット |
|
|
|---|---|---|
デメリット |
|
トータルで見ると、管理体制が整うことや、セキュリティレベルが向上するメリットが非常に大きかったので、取得してよかったなと感じています。
インターグのメディアを見てくださっているユーザーの方や、取引先の方々にも、安心いただける体制ができたのではないでしょうか。
まとめ
インターグがISMS認証を取得した時のことを思い出しながら、ご紹介いたしました。
今年度の審査はISO27001の改定を踏まえた審査なので、もう一段レベルアップできる機会になると思っています!
