Malake
DX・ITコンサル監査・審査
5 min read

ISMS(ISO/IEC 27001)導入ロードマップ:スコープ設計からリスクアセスメント、運用定着まで

#ISMS 導入 進め方#ISO27001 リスクアセスメント#SoA 作り方#Annex A 2022#情報セキュリティマネジメントシステム
Definition

ISMS(情報セキュリティマネジメントシステム)とは、組織が情報を適切に管理、「機密性・完全性・可用性」を維持するための仕組みです。ISO/IEC 27001はその国際規格であり、認証取得は組織の対外的な信頼性を担保する強力な手段となります。

TL;DR (要約)

ISMS認証取得は、単なるラベル獲得ではなく、組織的なリスク管理体制を構築するプロジェクトです。最新の2022年版規格では、管理策(Annex A)が統合され、より現状に即したリスク対応が求められます。成功の鍵は、身の丈に合った適用範囲(スコープ)の設計と、形骸化させない運用ルール(SoA)の策定にあります。

この記事でわかること

  • ISMS認証取得のメリットとコスト感について学べます
  • 導入ロードマップ:実践的7ステップについて学べます
  • Annex A (管理策) と SoA (適用宣言書) の関係について学べます
  • 導入チェックリスト&FAQについて学べます

ISMS認証取得のメリットとコスト感

取引先からの要望や、DX推進における信頼性確保のためにISMS取得を検討する企業が増えています。

メリット

  • 官公庁や大手企業入札への参加資格
  • 取引先からのセキュリティチェック免除/簡素化
  • 社内ルールの標準化と属人化の解消
  • インシデント発生時の責任能力の証明

コスト・期間

  • 期間: キックオフから認証まで通常6〜12ヶ月
  • 審査費用: 初年度 50〜150万円程度 (規模による)
  • 維持費用: 年次サーベイランス審査が必要
  • コンサル費用: 自社構築なら0円だが工数は大

導入ロードマップ:実践的7ステップ

ISMSの構築から認証取得までの標準的な流れです。全ての工程を完璧に行う必要はありませんが、順序を守ることは重要です。

Step 1

適用範囲(スコープ)決定

全社か、特定事業部か。物理的なオフィス範囲と、対象とする情報資産の境界を明確にします。

Step 2

情報資産の洗い出し

PC、サーバー、書類、SaaSアカウントなど、守るべき資産を台帳化します。

Step 3

リスクアセスメント

各資産に対する脅威(漏洩、消失等)と脆弱性を評価し、リスク値(点数)を算出します。

Step 4

管理策の適用 (SoA)

リスクを下げるための具体的な対策(Annex A)を選定し、適用宣言書 (SoA) を作成します。

Step 5

教育・内部監査

ルールを従業員に周知し、実際に運用されているか社内でチェック(内部監査)します。

Step 6

マネジメントレビュー

経営層に対し、ISMSの運用状況と課題を報告し、改善指示を受けます。

Step 7

本審査 (第一段階/第二段階)

審査機関による文書審査と実地審査を受けます。不適合があれば是正し、晴れて認証取得です。

Annex A (管理策) と SoA (適用宣言書) の関係

ISO/IEC 27001:2022では、93個の管理策(Control)が Annex A として定義されています。これら全てを実施する必要はなく、自社のリスクに合わせて「適用する/しない」を選択します。その結果をまとめた表が「適用宣言書 (Statement of Applicability: SoA)」です。

▼ Annex A カテゴリとSoA対応例

カテゴリ 管理策の例 SoAでの判断例
組織的対策 情報の分類、資産台帳 適用 (必須レベル)
人的対策 教育・訓練、退職後の守秘義務 適用 (入社誓約書等で対応)
物理的対策 入退室管理、クリアデスク 除外 (フルリモートの場合など)
技術的対策 マルウェア対策、ログ監視 適用 (ウイルスソフト/SaaS機能)

SoAにおいて「適用しない」とした場合、その正当な理由(例:物理オフィスが存在しないため物理的対策の一部は対象外、など)を文書化する必要があります。

導入チェックリスト&FAQ

ISMS認証取得に向けた準備状況を確認しましょう。

重要ポイント

審査は「減点方式」ではありません。完璧なセキュリティであることを証明する場ではなく、「自社のルールに従って、改善のサイクル(PDCA)が回っているか」を確認する場です。背伸びをしたルールを作らず、運用可能なルールを設定することが、形骸化を防ぐ最大のポイントです。

チェックリスト

  • □ 経営層が情報セキュリティへのコミットメント(方針)を表明している
  • □ ISMS事務局(推進メンバー)が任命されている
  • □ 情報資産台帳のフォーマットが決まっている
  • □ リスクアセスメントの手法(ベースライン分析/詳細リスク分析など)が決まっている
  • □ 法令(個人情報保護法、不正競争防止法など)の特定ができている
  • □ 従業員への教育計画が立てられている
  • □ 内部監査員を確保できるか(または外部委託するか)検討している

よくある質問

Q. Pマーク(プライバシーマーク)との違いは?

Pマークは日本国内規格で「個人情報」の保護に特化しています。ISMS(ISO 27001)は国際規格で、個人情報を含む「全ての情報資産(技術情報、顧客リスト等)」を対象とします。BtoBビジネスで海外展開や技術力をアピールする場合はISMSが有利です。

Q. クラウドサービス(SaaS)ばかり使っていますが、審査対象になりますか?

なります。SaaS自体はベンダーの管理下ですが、「SaaSのアカウント管理(ID/Pass)」「SaaS上のデータへのアクセス権限設定」「利用端末の管理」は自社の責任範囲です。むしろ現代のISMSではここが審査の重点項目です。

Q. 10名以下の小規模でも取得できますか?

可能です。ただし、文書量や管理工数が負担になるため、コンサルタントを入れたり、クラウド型のISMS支援ツールを活用して、極力工数を下げる工夫が必要です。

参考リンク / 出典

DX推進やIT戦略でお悩みですか?

現状分析から戦略立案、実行まで、専門家が伴走型で支援します。

DX・ITコンサルティングについて
Theme Overview

中小企業のための実践的DX推進ガイド:戦略立案から実行まで

このテーマの全体像を把握し、より体系的な理解を深めましょう。

全体像を読む

ビジネスの課題解決を、
もっと具体的に。

Malakeは、テクノロジーと戦略の両面から
貴社のビジネス変革をサポートします。

サービスガイド無料相談を予約