ISO 27001
情報セキュリティマネジメントシステム
ISO 27001は、保有する情報のセキュリティに対するリスクを管理するために、世界的に認められている国際規格です。 ISO 27001の認証により、情報のセキュリティを管理していることをクライアントやその他の利害関係者に証明できます。 ISO 27001は、情報セキュリティマネジメントシステム(ISMS)の標準化された要求事項および管理策を提供します。 この規格では、ISMSを確立、実施、運用、監視、保守、および改善するためのプロセスベースのアプローチを採用しています。
ISO 27001認証を取得する企業は?
ISO 27001認証は大小を問わず、あらゆる組織のあらゆる部門に適しています。 この規格は、銀行、金融、医療、公共、製造、IT部門、機密文書の処理など、情報の保護が重要な場合に特に適しています。 この規格は、大量のデータを管理する組織、またはデータセンターやITアウトソーシング企業などの他の組織に代わって情報を管理する組織にも適用されます。
ISO 27001とは?
ISO 27001は、保有する情報のセキュリティに対するリスクを管理するために、世界的に認められている国際規格です。 ISO 27001の認証により、情報のセキュリティを管理していることをクライアントやその他の利害関係者に証明できます。 ISO 27001は、情報セキュリティマネジメントシステム(ISMS)の標準化された要求事項を提供します。 この規格では、ISMSを確立、実施、運用、監視、保守、および改善するためのプロセスベースのアプローチを採用しています。
ISO 27001規格およびISMSは、組織が以下を行うのに役立つ情報セキュリティマネジメントの実践の為の枠組みを提供します:
- クライアントから提供される情報を保護する
- 従業員の個人情報を保護する
- 情報セキュリティに対するリスクを効果的に管理する
- 欧州連合一般データ保護規則(EU GDPR)などの規制へのコンプライアンスを達成する
- 改正個人情報保護法を順守する
- 組織内で価値のある情報を管理する(守るべき情報)
- 情報の可用性を高め、事業を活性化する(攻めるための情報)
- 会社のブランドイメージを保護する
ISO 27001の利点
組織の情報を保護することは、組織の管理と円滑な運用の成功のために重要です。 ISO 27001は、貴重なデータと情報資産の管理・保護において組織を支援します。
ISO 27001の認証を取得することにより、組織は次のような利点を享受できます:
- 機密情報を安全に保持する
- 顧客とステークホルダーに信頼を与えるシステムを構築できる
- 安全な情報交換を可能にする
- 他の規制(SOXなど)に準拠するのに役立つ
- 競争上の優位性を提供する
- 顧客満足度の向上
- サービスまたは製品の提供における一貫性
- リスクエクスポージャーの管理および最小化
- 組織内のセキュリティに関する認識を向上させる
- 組織、資産、株主、および従業員をインシデントから守る
"When we engaged Certification Europe I was immediately put at ease due to the open and approachable manner of their auditors and staff."
Eileen Uí Mhurchú, Servecentric
"Certification Europe were very knowledgeable in the area of energy management and had a personable approach during the certification process.”
Evelyn Conlon, Risk Manager, Diageo Bailey’s Global Supply
ISO 27001認証
サーティフィケーション・ヨーロッパは、ISO 27001に準拠した組織の監査と認証について、INABから認定されています。 「認証」という用語は、プライベート認証(自己宣言)の可能性もあります。区別するために、ISO認証機関のみが国際規格の認定を受けることができます。 弊社は、 INABに認定された認証機関として、受審組織がISO 27001の要求事項を満たしていることを審査/認証します。
認定は、認証機関が認証サービスを提供することを認められているプロセスです。認定を受けるには、サーティフィケーション・ヨーロッパはマネジメントシステムの監査と認証を提供する認証機関の一連の要求事項であるISO 27006を運用する必要があります。サーティフィケーション・ヨーロッパは、認証サービスが関連する認定基準の厳密な要求事項を満たしていることを、認定機関によって毎年監査されています。
ISO 27001:2022への移行について
ISO/IEC 27001:2022(情報セキュリティマネジメントシステムー要求事項)が、2022年10月25日付で発行されました。2013年版から2022年版への移行となります。ISO/IEC 27002:2022は先行して2022年2月15日に発行されています。 日本語に翻訳されたJIS版(JIS Q 27001)の発行につきましては、日本規格協会の回答によると、以下のとおり予定しているとのことです。
JIS 27001・・・2023年9月20日にJIS Q 27001:2023が発行されました。
JIS 27002・・・2024年度中の発行予定
認証の移行期間
- 規格発行月の月末から3年間(2022年10月31日~2025年10月31日まで) ※2025年11月以降、2013年版は無効となります。
- 主な変更点 (規格要求事項については、ほぼ変更なし) 1)移行審査は、6.1.3 c)及び d)の表現の変更 2)計画の変更が追加 3)付属書Aの管理策(114個→93個) 4)削除された管理策はなく、多くが統合され、新しい管理策が11個追加
- 認証の移行方法
2022年版へ移行するためには、移行審査の受審が必要です。サーベイランス審査、再認証審査と同時に、または個別の審査として受審することができます。以下が主な要件となりますが、これらに限定されません。 1)移行審査は、文書レビューだけでなく、現地確認も実施 2)ISO27001:2022のギャップ分析及び受審組織のISMSの変更の必要性 3)適用宣言書の更新 4)該当する場合、リスク対応計画の更新 5)受審組織が選択した、新規または変更された管理策の実施及び有効性 - システムの移行方法 多くの組織では適用宣言書(管理策)の再マッピングが必要となります。方法については、コンサルタントと移行計画を相談してください。コンサルタントがついていない場合は、弊社にご相談ください。
- 参考文書(クリックしてしてください) 1)ISO/IEC27001:2022移行準備について 2)よくある質問
3)ISO 27001:2022 移行方針
4)ISO 27001:2022 Transition Policy
お見積り依頼
ISOの認証取得、現在の認証機関から弊社への認証の移転、内部監査員講習等につきましては、info@certificationeurope.co.jp までお問い合わせください。弊社担当よりご連絡申し上げます。
お急ぎのご用件は、お電話でのお問い合わせをお願いいたします。(TEL: 075-323-6200)