2026.06.18 IPO

ISMSの種類とは?3つの認証区分とISO 27000ファミリー・Pマークとの違いを整理【2025年版対応】

「ISMSの種類」と検索すると、認証の区分・関連する規格群・他の認証制度との違いが入り混じり、何を指す言葉なのか分かりにくくなりがちです。本記事では、ISMS適合性評価制度の3つの認証区分(ISMS認証・ISMSクラウドセキュリティ認証・PIMS認証)、ISO/IEC 27000ファミリー規格の種類、そしてPマークやISMAPなど隣接する制度との違いを、3つの分類軸に整理して解説します。あわせて、2022年改訂や2025年の名称変更といった最新の動きも反映し、自社がどの種類を取得すべきかの判断基準まで示します。

目次

まとめ:ISMSの種類は「認証区分・関連規格・隣接制度」の3軸で整理

「ISMSの種類」という問いは、3つの異なる軸が混ざっているために分かりにくくなっています。1つ目はISMS適合性評価制度の認証区分で、ISMS認証(ISO/IEC 27001)を基本に、クラウド向けのISMSクラウドセキュリティ認証(ISO/IEC 27017)と、プライバシー向けのPIMS認証(ISO/IEC 27701)が加わります。2つ目はISO/IEC 27000ファミリーという規格群で、27001や27002、27017、27018、27701などが役割を分担しています。3つ目はPマーク・ISMAP・ISO 9001といった隣接制度との比較です。

結論として、まず取得するのはISMS認証(ISO/IEC 27001)で、クラウドサービスや個人情報の取り扱いといった事業特性に応じて追加の認証(クラウドセキュリティ認証やPIMS認証)を組み合わせる、という考え方が基本になります。取引先要件・入札条件・運用負荷の3点から逆算すれば、自社に必要な種類は絞り込めます。各軸の具体的な中身と選び方は、以下で順に整理します。

ISMSを「制度・規格・認証」の3層で捉える前提知識と用語の整理

種類を整理する前に、ISMSという言葉が「しくみ」「規格」「認証制度」の3つの層で使われている点を押さえると、後の分類がぶれません。ここでは混同しやすい基本用語を定義します。

ISMSは情報資産のCIA(機密性・完全性・可用性)を守るしくみ

ISMS(Information Security Management System/情報セキュリティマネジメントシステム)とは、組織が保有する情報資産を守るための方針策定・リスクアセスメント・管理策の導入・教育・監視・見直しを、PDCAで回し続けるしくみそのものを指します。特定のツールや製品ではなく、運用プロセス全体を体系化した「考え方」である点が出発点です。守る対象は情報の機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の3要素で、頭文字からCIAと呼ばれます。たとえば顧客データベースであれば、許可者だけが見られる状態(機密性)、改ざんされない状態(完全性)、必要なときに使える状態(可用性)の3つをバランスよく維持することが目的になります。

ISMSとISO/IEC 27001の違いは「しくみ」と「要求事項を定めた規格」

ISMSが「しくみ」であるのに対し、ISO/IEC 27001は、そのしくみを構築・運用するために満たすべき要求事項をまとめた国際規格です。両者は同義で語られることも多いものの、正確には「ISMSという取り組み」を「ISO/IEC 27001という規格」が定義している関係にあります。国内規格としては、ISO/IEC 27001を翻訳したJIS Q 27001が対応し、技術的内容はほぼ同じです。つまり「ISMSとISO 27001の違い」を問われたら、目に見えない運用のしくみ(ISMS)と、その基準を文書化した規格(ISO/IEC 27001=JIS Q 27001)という対応関係で説明できます。この区別が、後述する認証区分や関連規格を理解する土台になります。

ISMS認証は第三者機関がISO/IEC 27001適合を認める制度

ISMS認証とは、組織のISMSがISO/IEC 27001に基づいて適切に運用・管理されていることを、第三者である認証機関が審査して認める制度です。日本ではこの枠組みが「ISMS適合性評価制度」として整備され、情報マネジメントシステム認定センター(ISMS-AC)が運営しています。自社で「ISO 27001に準拠しています」と宣言するだけでなく、客観的な第三者審査を経て認証を取得することで、取引先や顧客に対する信頼の裏づけになります。検索で多い「ISMS認証とは」という疑問に対する答えは、この第三者認証のしくみという一点に集約されます。

要求事項(本文箇条4〜10)と管理策(附属書A)の役割の違い

ISO/IEC 27001は大きく「本文(要求事項)」と「附属書A(管理策)」に分かれます。本文の箇条4〜10は、すべての組織が必ず満たすべき要求事項で、適用範囲の決定・リスクアセスメント・マネジメントレビューなどが含まれます。一方の附属書Aは、リスク低減のための具体的な対策の選択肢(管理策)であり、自社のリスクに応じて適用・除外を判断します。適用と除外の理由をまとめた文書が適用宣言書(SoA:Statement of Applicability)です。「要求事項は必ず満たす基準」「管理策は選んで適用する対策」という役割分担を押さえると、後述するアドオン認証で管理策が追加される意味が理解しやすくなります。

2022年改訂で附属書Aが114項目14分類から93項目4分類へ再編

ISO/IEC 27001は2022年10月25日に約9年ぶりに改訂され、日本語版のJIS Q 27001:2023は2023年9月20日に発行されました。最大の変更は附属書Aの再編で、従来の114項目・14分類が、93項目・4分類(組織的・人的・物理的・技術的)へ整理されています。内訳は58項目が更新、24項目が統合、11項目が新規追加で、本文の要求事項に大きな変更はありません。さらに2024年2月23日にはAmd 1:2024で気候変動への考慮が追加され、日本語版は追補1としてJIS Q 27001:2025(2025年5月20日公示)に反映されました。旧版からの移行期限は2025年10月31日で、現在は2022年版が前提です。

「ISMSの種類」が分かりにくい3つの理由と整理に使う分類軸の全体像

同じ「ISMSの種類」という検索でも、求めている答えは人によって異なります。ここでは分かりにくさの原因を切り分け、本記事で使う3つの分類軸を提示します。これが他章を読み解くための地図になります。

「種類」が制度・規格・認証マークの3つを指す混同の実態

「ISMSの種類」という言葉が指す対象は、文脈によって3通りに揺れます。1つ目は認証の区分(ISMS認証・クラウドセキュリティ認証・PIMS認証)、2つ目はISO 27000系の規格群、3つ目はPマークなど別制度との対比です。検索上位の記事を見ても、ある記事は関連規格のファミリーを「種類」として扱い、別の記事はPマークとの違いを「種類」として説明しており、定義が統一されていません。この3義が混ざることが、調べても全体像がつかめない最大の原因です。

検索意図が「区分を知りたい」か「他制度との違い」かで分岐

読者の目的は、大きく「自社が取れる認証の区分を知りたい」層と、「ISMSと他の認証(PマークやISO 9001)の違いを知りたい」層に分かれます。前者はこれから取得を検討する担当者に多く、後者はすでに何らかの認証を持ち、追加や使い分けを考える担当者に多い傾向があります。たとえば「クラウド事業を始めたが追加で何を取るべきか」は前者、「Pマークは持っているがISMSも要るのか」は後者です。自分がどちらの意図かを意識すると、必要な情報に最短でたどり着けます。

本記事で使う3分類軸(認証区分/関連規格/隣接制度)の全体像

本記事では、混同を解くために「種類」を3つの軸に分けて扱います。軸1はISMS適合性評価制度の認証区分で、実際に組織が取得する単位です。軸2はISO/IEC 27000ファミリーの規格で、認証区分の土台となる文書群です。軸3はPマーク・ISMAP・ISO 9001など隣接する制度・規格で、ISMSと並べて比較される対象です。軸1は「何を取るか」、軸2は「何に基づくか」、軸3は「何と違うか」に対応し、この順で読むと重複なく整理できます。

自分がどの軸の情報を必要としているかの判定の目安

判定の目安はシンプルです。取得する認証の単位や対象範囲を知りたいなら軸1、規格番号(27001・27017・27701など)の役割を知りたいなら軸2、他の認証との使い分けや併用を知りたいなら軸3を中心に読めば足ります。たとえば「ISO/IEC 27017とISMSクラウドセキュリティ認証は同じものか」という疑問は軸1と軸2にまたがり、「ISMSとPマークはどちらを取るべきか」は軸3の判断に当たります。迷ったら、まず軸1で全体像をつかむのが近道です。

「ISMSは意味がない」と誤解されがちな背景と種類理解の効用

「ISMSは意味がない」という声は、認証の取得自体が目的化し、運用が形骸化したケースから生まれがちです。これは種類の問題ではなく運用の問題ですが、自社に不要な範囲まで広げて取得し、負担だけが残ると「意味がない」と感じやすくなります。逆に言えば、認証区分とアドオンの関係を理解し、事業特性に合った種類だけを選べば、過剰な負担を避けられます。種類を正しく区別することは、無駄な受審範囲を削り、認証を実効性のある投資に変えるための前提になります。

ISMS適合性評価制度の3つの認証区分と対象範囲・前提条件の違い

軸1として、日本のISMS適合性評価制度で取得できる認証区分を整理します。基本のISMS認証に、目的の異なる2つのアドオン認証が加わる構成です。

①ISMS認証(ISO/IEC 27001)=情報資産全般を守る基本の認証

ISMS認証は、ISO/IEC 27001(JIS Q 27001)に基づき、組織の情報資産全般を対象に情報セキュリティマネジメントシステムが構築・運用されていることを認証する、最も基本となる区分です。顧客情報や技術情報、財務情報など、個人情報に限らずあらゆる情報資産が保護対象になります。後述する2つのアドオン認証は、いずれもこのISMS認証を土台に追加するため、まず取得すべきはこのISMS認証です。「ISMSの種類」を考えるときの中心に置くべき区分といえます。

②ISMSクラウドセキュリティ認証(ISO/IEC 27017)の対象と前提

ISMSクラウドセキュリティ認証は、ISMS(JIS Q 27001)認証に加えて、クラウドサービス固有の管理策(ISO/IEC 27017)が適切に導入・実施されていることを、認証基準JIP-ISMS517に基づいて認証する区分です。基準のJIP-ISMS517は、ISO/IEC 27017:2015(JIS Q 27017:2016)に対応します。クラウドサービスの提供者・利用者がそれぞれ実施すべき管理策を対象とし、日本では2016年に制度として開始されました。クラウド事業者が取引先にセキュリティ水準を示す場面で有効で、ISO 27017とほぼ同義で語られることもあります。

③PIMS認証(旧ISMS-PIMS認証/ISO/IEC 27701)への名称変更

PIMS認証は、ISO/IEC 27701に基づくプライバシー情報マネジメントシステム(PIMS)が適切に導入・実施されていることを認証する区分です。注意したいのは、ISMS-ACの案内によると、2025年10月14日にISO/IEC 27701:2025が発行され、これが独立したマネジメントシステム規格になったことに伴い、従来の「ISMS-PIMS認証」から「PIMS認証」へ名称が変更された点です。旧版のISO/IEC 27701:2019はISMS認証(ISO/IEC 27001)を前提とするアドオンでしたが、2025年版ではISMS認証を前提としない独立した認証として取得できるようになりました。個人情報の取り扱いをマネジメントシステムとして強化したい組織に向く区分で、後述するPマークと目的が近いため、使い分けの理解が重要になります。古い記事では旧名称・旧位置づけのままのことが多いので、現時点では独立した「PIMS認証」が正しい呼称です。

クラウドセキュリティ認証のアドオン要件とPIMS認証の独立化

ISMSクラウドセキュリティ認証は単独では取得できず、ISMS認証(ISO/IEC 27001)の取得を前提とするアドオン認証です。仕組みとしては、ISO 27001の管理策にISO 27017の管理策を付加し、拡張した情報セキュリティマネジメントシステムとして登録します。一方のPIMS認証は、ISO/IEC 27701:2019のころはISMS認証を前提とするアドオンでしたが、2025年版(ISO/IEC 27701:2025)で独立規格となり、ISMS認証がなくても単独で取得できるようになりました。したがって、クラウド固有の対策を示したい場合はISMS認証を土台にクラウドセキュリティ認証を積み増し、個人情報の管理を示したい場合はPIMS認証を単独またはISMS認証と組み合わせて取得する、という整理になります。

3つの認証区分の対象・基準・前提条件を一覧で比較

3つの認証区分の対象・準拠規格・前提条件を一覧にすると、関係が明確になります。

認証区分 準拠規格・基準 主な対象 前提条件
ISMS認証 ISO/IEC 27001(JIS Q 27001) 情報資産全般 なし(基本認証)
ISMSクラウドセキュリティ認証 ISO/IEC 27017(基準JIP-ISMS517) クラウド固有の管理策 ISMS認証が前提(アドオン)
PIMS認証(旧ISMS-PIMS認証) ISO/IEC 27701:2025 個人情報・プライバシー 単独取得可(旧版はISMS認証が前提のアドオン)

表の通り、ISMS認証とPIMS認証は単独で取得でき、クラウドセキュリティ認証はISMS認証を前提とするアドオンです。自社の事業がクラウド提供なら27017、個人情報の管理強化ならPIMS認証、というように対象で選び分けます。

ISO/IEC 27000ファミリー主要規格の種類と各規格が担う役割の違い

軸2として、認証区分の土台になるISO/IEC 27000ファミリーの主要規格を整理します。番号ごとに役割が分かれており、すべてが認証規格というわけではありません。

ISO/IEC 27000は用語と概要を定義するファミリーの入口

ISO/IEC 27000は、ISMS関連規格群(27000ファミリー)で使われる用語の定義と全体概要を示す規格です。この規格自体で認証を取得するものではなく、ファミリーを読み解くための共通言語を提供する位置づけです。たとえば「情報資産」「脅威」「脆弱性」「リスク」といった基本用語の意味は、ここで統一的に定義されています。番号が最も若い入口の規格と捉えると、以降の27001・27002などの関係を整理しやすくなります。

27001(要求事項)と27002(管理策の実施手引)の役割分担

ISO/IEC 27001が「要求事項」を定める認証規格であるのに対し、ISO/IEC 27002は附属書Aの管理策を「どう実施するか」を詳しく解説した手引きです。27002は認証規格ではないため、これに沿って対策を整えただけではISMS認証は取得できません。実務では、27001で何を満たすべきかを確認し、個々の管理策の具体的なやり方は27002を参照する、という使い分けになります。なお27002はかつてISO/IEC 17799として発行され、2007年に現在の番号へ改番された経緯があります。

クラウド向け27017とクラウドPII向け27018の違い

クラウド関連には番号の近い2つの規格があり、混同しやすいので区別が必要です。ISO/IEC 27017は、クラウドサービスの提供者・利用者向けにクラウド固有の情報セキュリティ管理策を示す規格で、ISMSクラウドセキュリティ認証の基礎になります。一方のISO/IEC 27018(2014年制定)は、パブリッククラウドで個人を識別できる情報(PII)を保護するための管理策に特化した規格です。ざっくり言えば、27017はクラウドの情報セキュリティ全般、27018はクラウド上の個人情報保護、という対象の違いがあります。

プライバシー向け27701(PIMS)の位置づけと2025年版での独立

ISO/IEC 27701は、プライバシー(個人情報・PII)の保護に関する要求事項と管理策を定める規格で、前章のPIMS認証の根拠規格にあたります。旧版のISO/IEC 27701:2019はISO/IEC 27001のISMSを土台に拡張する位置づけでしたが、2025年10月14日に発行されたISO/IEC 27701:2025では、他のマネジメントシステム規格と整合した独立規格へと再編されました。27001だけでは情報資産全般が対象ですが、27701に基づくPIMSを構築することで個人情報の取り扱いを明示的に強化できます。プライバシー保護のための要求事項そのものに大きな変更はなく、変わったのは規格の位置づけと認証の独立性です。

ファミリー主要規格の対象・認証可否を一覧で整理

主要規格の役割と認証の可否を一覧にすると、どれが取得対象でどれが参照用かが分かります。

規格 役割 対象 認証の可否
ISO/IEC 27000 用語・概要の定義 ファミリー全体 認証対象でない
ISO/IEC 27001 ISMSの要求事項 情報資産全般 ISMS認証の規格
ISO/IEC 27002 管理策の実施手引 附属書Aの管理策 認証対象でない
ISO/IEC 27017 クラウド固有の管理策 クラウドサービス クラウドセキュリティ認証の基礎
ISO/IEC 27018 クラウドのPII保護 クラウド上の個人情報 主に管理策の参照
ISO/IEC 27701 プライバシー管理(PIMS) 個人情報・PII PIMS認証の規格

このように、27001と27017・27701が認証に直結する一方、27000・27002は参照用です。規格番号を見たら、まず「認証規格か手引きか」を見分けると整理が早くなります。

ISMSと混同しやすいPマーク・ISMAP・ISO 9001の対象と目的の違い

軸3として、ISMSと並べて比較されやすい制度・規格との違いを整理します。検索で多い「Pマークとの違い」「ISMAPとの違い」「ISO 9001との違い」をまとめて解消します。

ISMSとPマーク(JIS Q 15001)=守る情報範囲と国際性の違い

Pマーク(プライバシーマーク)は、JIPDEC(一般財団法人日本情報経済社会推進協会)が運営し、JIS Q 15001(個人情報保護マネジメントシステム-要求事項、最新はJIS Q 15001:2023)に基づいて、事業者が個人情報を適切に扱う体制を整えていることを認める制度です。1998年に発足し、保護対象は個人情報に限定される点がISMSとの最大の違いです。ISMSが情報資産全般を国際規格で守るのに対し、Pマークは個人情報に特化した国内中心の認証で、付与事業者は2025年3月末時点で17,793社に上ります。取得手順の詳細はPマークの取得方法を解説した記事もあわせて参考になります。

ISMSとISMAP=民間向けと政府調達向けという制度目的の違い

ISMAP(政府情報システムのためのセキュリティ評価制度)は、政府が求めるセキュリティ要求を満たすクラウドサービスを評価・登録する制度で、2020年6月に運用が始まりました。2021年3月に登録されたクラウドサービスのリストが初公開され、以降は四半期ごとに更新されています。ISMSが業種を問わず民間で広く使われる第三者認証であるのに対し、ISMAPは政府機関による調達を主眼に置いた制度で、対象や運営主体が異なります。官公庁向けにクラウドを提供する事業者にとっては、ISMSとは別軸で検討すべき制度です。

ISO/IEC 27001とISO 9001=情報と品質という対象の違い

ISO 9001は品質マネジメントシステムの規格で、製品やサービスの品質を継続的に高めるしくみを対象とします。これに対しISO/IEC 27001は情報セキュリティを対象とする規格で、守るものが「品質」か「情報」かという根本的な違いがあります。マネジメントシステムとしてPDCAを回す構造は共通するため、両者を併用する組織もありますが、目的が異なるため一方が他方を代替することはありません。「ISO 9001と27001の違い」という疑問への答えは、この対象領域の違いに尽きます。

3制度・規格の対象情報・準拠規格・適用範囲を一覧で比較

ISMSと隣接制度の違いを一覧にすると、使い分けの判断がしやすくなります。

制度・規格 準拠規格 対象 適用範囲
ISMS認証 ISO/IEC 27001 情報資産全般 国際通用・全業種
Pマーク JIS Q 15001 個人情報のみ 国内中心
ISMAP 政府の評価基準 政府調達クラウド 政府機関向け
ISO 9001 ISO 9001 製品・サービスの品質 国際通用・全業種

表の通り、対象とする情報や利用シーンが制度ごとに異なります。個人情報中心ならPマーク、情報全般ならISMS、政府調達クラウドならISMAP、という入口で考えると選びやすくなります。

同時取得で受審工数を抑える組み合わせの判断基準

ISMSとPマークは対象が重なる部分があり、組み合わせて受審することで準備・審査工数を抑えられる場合があります。たとえば個人情報を多く扱う企業がISMS認証とPマークを併用すると、情報資産全般と個人情報の双方をカバーできます。ただし、両方を取ると運用文書や教育の負担も増えるため、取引先や顧客が実際に求めているのはどちらか、という観点で要否を見極めることが判断基準になります。やみくもな同時取得ではなく、要件のある認証から優先するのが現実的です。

自社が取得すべきISMSの種類を判断する基準と優先順位の決め方

ここからは判断段階として、自社にどの種類が必要かを決めるための具体的な基準を示します。事業特性と運用負荷の両面から絞り込むのが要点です。

取引先要件・入札条件から必要な認証区分を逆算する

最初に確認すべきは、取引先や入札案件が認証を要件にしているかどうかです。多くの場合、ISMS認証の取得は自発的な品質向上より、取引条件や入札参加資格として求められることが起点になります。要件にISO/IEC 27001と明記されていれば基本のISMS認証、クラウド提供が条件ならクラウドセキュリティ認証、個人情報の取り扱いが厳しく問われるならPマークやPIMS認証、と逆算できます。要件を満たさない認証を先に取っても評価につながらないため、求められている種類から着手するのが効率的です。

クラウド事業者がISMS+27017の追加を検討する基準

SaaSやクラウドインフラを提供する事業者は、ISMS認証に加えてISMSクラウドセキュリティ認証(ISO/IEC 27017)の追加を検討する典型例です。判断基準は、利用者からクラウド固有のセキュリティ水準の証明を求められているか、競合がすでに取得しているか、の2点です。クラウド固有のリスク(責任分界や設定管理など)への対応を客観的に示せるため、提供サービスの安全性をアピールする材料になります。前提としてISMS認証が必要なので、未取得ならまずそちらから進めます。

個人情報を主に扱う事業でのPマークとPIMS認証の使い分け

人材・通販・医療など個人情報を大量に扱う事業では、PマークとPIMS認証のどちらが適切かを見極めます。国内顧客向けで個人情報保護の対外アピールを重視するならPマーク、国際的な枠組みでプライバシー管理を強化したいならPIMS認証(ISO/IEC 27701:2025)、という使い分けが目安です。PIMS認証は2025年版で単独取得が可能になったため、すでにISMS認証を持つ組織が拡張する形でも、個人情報保護を主目的に単独で取得する形でも選べます。情報資産全般も対象にしたい場合はISMS認証と組み合わせる、ISMSを持たず個人情報のみが焦点ならPマークかPIMS認証、という整理が現実的です。

取得後の運用負荷まで見込んだ適用範囲の設定の考え方

種類の選定と同時に、取得後の運用負荷を見込んだ適用範囲の設定が欠かせません。認証はゴールではなく、取得後にPDCAで維持・改善し続けて初めて実効性が出ます。適用範囲を広げるほど内部監査やリスクアセスメント、文書管理の工数は増えるため、自社の体制で回せる範囲に絞ることが重要です。取得後にどのような運用が必要になるかは、ISMS運用の実務手順を整理した記事で具体的に確認できます。範囲設定の段階で運用像まで描いておくと、形骸化を防げます。

中小組織が陥りやすい「適用範囲の広げすぎ」の失敗パターン

数十名規模の組織でよくある失敗が、大企業と同じ重さで全社・全業務を適用範囲に含め、運用が回らなくなるパターンです。文書を方針・規程・手順の最小構成に絞らず手順書を量産する、複数の認証を同時に欲張る、といった広げすぎは、負担だけが増えて「意味がない」という不満につながります。回避策は、まず情報資産が集中する部署や主要サービスに範囲を限定し、運用が定着してから段階的に広げることです。小さく始めて確実に回すほうが、結果的に認証の価値を引き出せます。

ISMS認証取得の流れと認定機関・認証機関・審査の役割分担

最後に、実際に認証を取得する流れと、それを支える機関の役割を整理します。「認定」と「認証」の違いを押さえると、認証機関選びの判断もしやすくなります。

認定機関(ISMS-AC・JAB)と認証機関の階層関係

制度は「認定機関→認証機関→組織」という階層で成り立ちます。組織を審査して認証を与えるのが認証機関、その認証機関を審査・認定するのが認定機関です。国内の認定機関は、情報マネジメントシステム認定センター(ISMS-AC)と日本適合性認定協会(JAB)の2つが代表的です。一般の企業が取得するのは「認証」であり、認定機関から直接認証を受けるわけではない点に注意します。審査機関の審査機関が認定機関、と捉えると関係が整理できます。

構築から一次審査・二次審査までの標準的な取得の流れ

新規取得は、おおむね次の流れで進みます。

  1. 適用範囲の決定と情報セキュリティ方針の策定
  2. リスクアセスメントと管理策の選定(適用宣言書の作成)
  3. 規程・手順の整備と運用開始、内部監査・マネジメントレビューの実施
  4. 認証機関による一次審査(文書・体制の確認)
  5. 二次審査(運用実態の確認)を経て認証取得

ポイントは、審査前に一定期間の運用実績が必要な点です。仕組みを作るだけでなく、実際に回した記録が審査の対象になります。

認証後に続く維持審査・更新審査の3年サイクル

認証は取得して終わりではなく、定期的な審査で維持します。一般に、認証取得後は毎年の維持審査(サーベイランス)を受け、おおむね3年ごとに更新審査で認証を更新するサイクルが基本です。維持審査では運用が継続しているか、更新審査では仕組み全体が有効に機能しているかが確認されます。2022年改訂への対応では、適用宣言書を93管理策の構成へ更新し、新設管理策の採否と理由を明記することが審査の確認対象になります。取得後の負荷を見込んでおくことが、継続のうえで重要です。

認証機関選びで比較すべき費用・実績・対応範囲の観点

認証機関は複数あり、費用・実績・対応範囲で比較して選びます。審査費用は適用範囲(拠点数・人数)や認証機関によって差が出るため、複数の認証機関から見積もりを取って比較するのが基本です。あわせて、自社の業種での審査実績があるか、クラウドセキュリティ認証やPIMS認証など必要な認証区分に対応しているか、を確認します。費用の安さだけで選ぶと、必要な認証区分に対応していない、といったミスマッチが起きかねません。

自社の情報セキュリティ方針を起点に運用へつなげる進め方

取得を成功させる起点は、実態に合った情報セキュリティ方針を定めることです。方針が現場で守れる内容になっていれば、規程・手順・教育へ一貫して落とし込め、審査でも運用でも矛盾が出にくくなります。たとえば一創でも、ISO/IEC 27001に準拠した情報セキュリティ方針を定め、継続的に改善する体制を運用しています。方針を形だけにせず、目標設定とレビューを通じてPDCAへつなげることが、認証を実効性のある取り組みにする近道です。

よくある質問

「ISMSの種類」に関連してよく寄せられる質問を、検索で多い疑問を中心にまとめます。

ISMSの認証機関にはどのような一覧・選び方がありますか?

ISMS認証を行う認証機関は国内に複数あり、その多くは認定機関(ISMS-ACやJAB)の認定を受けています。一覧は認定機関のサイトなどで確認できます。選ぶ際は、審査費用、自社業種での審査実績、クラウドセキュリティ認証やPIMS認証など必要な認証区分への対応可否を比較するのが基本です。費用は適用範囲や機関によって差が出るため、複数機関から見積もりを取り、対応範囲と実績を含めて総合的に判断することをおすすめします。

ISO 9001とISO 27001の違いは何ですか?

両者はいずれもマネジメントシステムの国際規格でPDCAを回す構造は共通しますが、対象が異なります。ISO 9001は製品やサービスの「品質」を継続的に高めるための規格であるのに対し、ISO/IEC 27001は「情報セキュリティ」を確保するための規格です。守る対象が品質か情報かという根本的な違いがあり、目的が異なるため一方が他方を代替することはありません。両方を併用してマネジメント体制を整える組織もあります。

ISMSに適用される規格にはどのようなものがありますか?

中心となるのはISO/IEC 27001(国内版はJIS Q 27001)で、これがISMS認証の規格です。関連して、用語と概要を定義するISO/IEC 27000、管理策の実施手引であるISO/IEC 27002、クラウド向けのISO/IEC 27017、クラウド上の個人情報保護のISO/IEC 27018、プライバシー管理のISO/IEC 27701などが27000ファミリーを構成します。このうち認証に直結するのは27001・27017・27701で、27000や27002は参照・手引き用の規格という位置づけです。

ISMSの三要素(CIA)とは何ですか?

ISMSが守る情報セキュリティの三要素とは、機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の3つで、頭文字からCIAと呼ばれます。機密性は許可された人だけが情報にアクセスできる状態、完全性は情報が改ざんされず正確に保たれる状態、可用性は必要なときに情報を使える状態を指します。ISMSは、この3つをバランスよく維持・改善することを目的とし、リスクアセスメントや管理策の選定もこの観点で行います。

ISMS認証とISO/IEC 27001認証は違うものですか?

実質的には同じものを指します。ISMSは情報セキュリティを守る「しくみ」、ISO/IEC 27001はそのしくみの要求事項を定めた「規格」であり、ISMS認証とは組織のISMSがISO/IEC 27001に適合していることを第三者が認める認証です。そのため「ISMS認証」と「ISO/IEC 27001認証」はほぼ同義で使われます。国内ではISO/IEC 27001を翻訳したJIS Q 27001が対応規格となり、内容はほぼ同じです。

関連記事

資料請求

RELATED POSTS 関連記事

一覧へ戻る