ISO/IEC27001は、国際標準化機構(ISO)が2005年に発行した情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
情報セキュリティに関する諸問題に対し、対処的な対策を講じるだけではなく、情報セキュリティに対する組織としての方針（セキュリティポリシー）、目的を明確にし、それに基づく体制を構築し、PDCAサイクルを廻しながら情報セキュリティを推進していくマネジメントシステムです。
ISO/IEC27001は、セキュリティ上の課題を解決するために、組織が保有する情報に対するリスクを特定し、リスクに対する対策を導入し、継続的に見直すためのフレームワーク(枠組み)を提供しており、現在多く存在するセキュリティ基準の中でも多くの組織に採用されている国際規格です。

【ISO/IEC27001(ISMS)の主な実施項目】

• 組織及びその状況の理解
  外部状況、内部状況の課題の把握
• 情報の機密性、完全性、可用性の適切な保護
• リスク及び機会に対処する活動
• 情報セキュリティ目的の計画の策定と実施
• 情報セキュリティ基本方針の策定
• 内部監査の実施
• マネジメントレビューの実施
• 不適合及び是正処置
• 継続的改善の実施

【ISO/IEC27001(ISMS)認証登録のメリット】

≪1≫競争優位性の確保

もはやITは社会のインフラに欠かせない存在になっています。企業の活動においても利益の追求だけでなく、情報セキュリティ対策が不可欠な要素となっています。組織の事業内容に合致したISO/IEC 27001を導入することにより、企業の競争力は高まります。

≪2≫顧客からの信頼

情報セキュリティ対策が適切に実施されているかどうかは、外部からは見えにくいものがありますが、第3者機関である審査機関が実施した審査において、ISO/IEC 27001を認証取得した組織は、顧客からの信頼感も高まります。

≪3≫コンプライアンス（法的準拠性）

法律を遵守することは当然の要求事項です。ISO/IEC 27001を導入することにより、組織が適切に法律を遵守しているという証拠を残す仕組みが構築できます。

【ISO/IEC27001(ISMS)が対象とする組織】

「情報」は現代のビジネスにおいて非常に価値ある資源であることから、それらを脅威から守る必要性のあるすべての組織が対象となります。中でも、以下のような組織ではISO/IEC 27001認証取得の必然性と効果が高いと思われます。

• 大手メーカーとサプライチェーンを形成する組織
• 高い機密レベルを求められる官公庁から案件を受託している組織

【ISO/IEC27001(ISMS)の要求事項】

これらを踏まえると、ISO/IEC27001認証取得に向けた活動とは、この規格に規定された要求事項を満たすための活動を指します。この要求事項について、ISO/IEC27001では「この規格が規定する要求事項は、汎用的であり、形態、規模又は性質を問わず、全ての組織に適用できることを意図している。」としています。
このような国際規格の性質上、全ての組織に適用できなければならないために、ISO/IEC27001の規格要求事項は抽象的で、読んだだけでは規格が何を求めているのかがわかりにくいという課題があります。しかし一方で、ISO/IEC27001の規格要求事項には解釈の幅、一定の自由度があるということでもあります。ISO/IEC27001認証取得成功のポイントは、規格要求事項を正しく理解し、お客様に合った解釈で仕組み作りをすることです。当社のコンサルティングでは、お客様とともに考え、お客様に合った仕組み作りをご支援いたします。

【お問合せについて】

ISO/IEC27001について、以下のようなご希望をお持ちのお客様は、是非お気軽にお問合せください。
当社コンサルタントがご訪問させていただき、お客様の状況を伺いながら、お客様の組織に即してISO/IEC27001導入に当たっての課題を整理させていただきます。これにより、「やるべきこと」が明確になります。

• ISO/IEC27001規格改訂移行のポイントを知りたい
• 適用範囲を検討する際のポイントを知りたい
• ISO/IEC27001の導入に必要な体制を知りたい
• ISO/IEC27001の必要性を社内に浸透させるためのポイントを知りたい
• ISO/IEC27001を認証取得するまでの具体的な作業について知りたい
• ISO/IEC27001の審査や認証制度について知りたい