# ISO/IEC27001とは?
- 情報セキュリティ対策を組織的に行う為の仕組みについての要求事項
- ISMS適合性評価制度の認証基準
# この規格が必要とされる背景
- 組織や企業が抱える情報資産への驚異の増加(記憶媒体の紛失、サイバー攻撃など)
- 情報セキュリティ上の脅威は多種多様であり日進月歩
- 上記への対策を場当たり的に行うのではなく、組織的に、継続的に行う必要がある
# メリット
- 組織的な情報セキュリティへの取組みができる
- 国際規格に基づいて情報セキュリティ対策への取組が実施されているという信頼感を利害関係者に与える
- 入札要件への対応
# デメリット
- ISMSの構築及び運用のためのコスト(工数など)
- 認証取得する場合は、その為の費用(初回審査、毎年の意地審査、三年に一度の更新審査費用)
# 規格内容
- 情報セキュリティマネジメントシステムを構築・運用に対する要求事項
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
- 情報セキュリティ対策上の管理目的及管理策
- 情報セキュリティのための組織
- モバイル機器及びテレワーキング
- 媒体の取り扱い
- アクセス制御など。。。
# Pマークとの違いは?
| 項目 | ISMS(ISO/IEC27701) | Pマーク(JISQ15001) |
|---|---|---|
| 規格 | 国際規格 | 日本産業規格 |
| 保護する対象 | 情報資産全て (個人情報含む) | 個人情報のみ |
| 適用範囲 | 限定可能 (事業単位など) | 限定不可 (法人単位) |
| 審査頻度 | 3年毎の更新審査 及び毎年の維持審査 | 2年毎の更新審査 |