ISO27001(ISMS)よくある質問
ISO27001(ISMS)に取り組まれる際の疑問や悩み、
コンサルティングの現場で私たちがよく受けるご質問などを掲載しております。
Q1:ISO27001(ISMS)の認証取得メリットは?
A1:ISO27001(ISMS)では会社で扱う情報(情報システムだけではない。文書や外部記憶媒体も対象)を守る仕組みができます。認証取得マークが使えるので、他社との差別化ができます。(プライバシーマークでは個人情報保護法にのっとった個人情報取扱いルールと、個人情報を守る仕組みができます)
Q2:どのような会社がISO27001(ISMS)を認証取得しているのか?
A2:ISO27001(ISMS)は、SIベンダーやデータセンター、Web製作などIT系の企業が取得の中心です。その他では印刷業なども取得の件数が増えています。最近では、製造業やサービス業でも認証取得が進んでおり、特に業種・業界を特定しない規格として認知されてきています。
Q3:ISO27001(ISMS)を認証取得するのにかかる期間と費用は?
A3:ISO27001(ISMS)では認証取得まで3ヶ月〜9ヶ月です。初回登録審査料金は、30人規模の会社で72万円〜125万円程度です。当社ではISO27001(ISMS)取得個別コンサルティングの標準的な価格は260万円〜。価格はお客様ごとの個別見積りとなります。
Q4:部門単位や事業所単位での取得は可能か?
A4:全社はもちろん企業グループ全体や企業の一部門(一拠点)のみでも取得できますし、特定の製品・サービスという視点でも切り分けることができます。
Q5:ISO27001(ISMS)を認証取得するためには何をするのか?
A5:企業内の情報を整理して目録化し、漏えいやシステムトラブルなどの弱点を調べて対策します。さらに教育や内部監査の制度を整えます。これらについてマニュアル・文書・記録の作成が必要であり、かつ現場への浸透も必要です。
Q6:ISO27001(ISMS)とプライバシーマークどちらを取得すればいいのか?
A6:ISO27001(ISMS)では自社において重要な情報の把握から対策レベルの決定まで、原則、企業側で判断できます。これに対してプライバシーマーク(Pマーク)では対策方法まで審査員から指摘が出る場合があります。ただしプライバシーマークで使用している規格書に対策方法が記載されているわけではないので、審査員の判断で対策を強制される場合があり、問題とされています。
具体的には
・個人情報以外にも重要な情報を持っている(法人顧客情報、技術情報、ノウハウなど)。
・無理難題を言われても困る(対策できない場合がある/費用対効果で判断したい)。
・社員を巻き込んで実用的・効果的な仕組みを作りたい。
のうち、二つ以上当てはまる企業には、ISO27001(ISMS)をお勧めします。
Q7:ISO27001(ISMS)の認証取得で失敗しないためにはどうすればいいのか?
A7:当社では、スムーズな認証取得のために以下のようなことをご提案しています。
・既存の文書を最大限に活用し、価値のあるマニュアルしか作らない。(審査員・文書作成者だけしか読まないマニュアルは作らない。
・既存の記録の工夫と活用。残す価値のない記録は最小の負荷で作成)
・メリット・デメリットを検討し、ISO27001(ISMS)のための仕事はつくらない。
・規格を過剰に解釈しない。
Q8:ISO27001(ISMS)の審査会社とは?
A8:審査登録機関から認定された適合審査を行う機関です。規格で要求されている内容が実現し、運営されているかを審査します。その審査の結果「適合」していれば認定証が発行されます。審査会社を選定する際には、規格の柔軟な解釈を行う審査会社をおすすめします。
Q9:ISO27001(ISMS)を認証取得するのにコンサルタントなどの取得支援は必要か? またその選び方は?
A9:コンサルタントの要否は任意です。コンサルタントを選定する際には「必ず取れる。早く取れる(時間を買う)。無駄なく取れる(無駄なコストの事前防止)。取得+αの実現ができる(ノウハウ・知恵を買う)」このような観点で活用価値を判断して下さい。
Q10:ISO27001(ISMS)を認証取得した後はどのようなことが必要か?
A10:認証を継続するには、維持審査・更新審査を受審し、「適合」の判定を受け続けなければなりません。そのためには構築したマネジメントシステムを引き続き運用し維持していきます。ISO27001(ISMS)を維持していくために半年または1年に1回審査機関から維持審査と登録を更新するための更新審査を3年に一度受審しなければなりません。
