ISO/IEC 27001 (ISMS): 情報セキュリティマネジメントシステム認証
世界最大規模の認証機関LRQAによる認証サービスと教育研修
お客様の情報を保護する。
ISO 27001は、情報セキュリティマネジメントシステム(ISMS)の国際規格です。ISO 27001は、規模や業種を問わず、あらゆる組織に対して、包括的な情報およびサイバーセキュリティ戦略のための強力な基盤を提供します。この規格は、リスクの特定、分析、実行可能な管理を通じて、リスクを軽減し、ビジネス上の重要なデータを保護するための最適な情報セキュリティ管理(ISMS)フレームワークを示しています。ISO 27001の認証取得は、複雑化する脅威から組織の情報、そしてクライアントの情報を守るためのプロセスと統制が整備されていることを証明するものです。ISO 27001の規格とLRQAのサービスに関するよくある質問をご参照ください。
『ISO 27001:2022(改訂版)移行のためのポイント解説』オンデマンド動画
2023年3月22日に開催したウェビナー動画をご視聴いただけます。
『ISO 27001:2022(改訂版)移行のためのポイント解説』オンデマンド動画ISO/IEC 27001:2022移行用の資料をご利用いただけます
2022年10月25日にISO 27001改訂版が発行されました。改訂版ISO 27001資料(「ISO 27002管理策相互比較ガイド」「移行を成功させるためのガイドライン」「移行を成功させるための10のステップ」)をご利用いただけます。
ISO/IEC 27001:2022移行用の資料をご利用いただけますLRQAのISO/IEC 27001サービス
LRQAの審査員はISO 27001の評価に精通しており、お客様の情報セキュリティシステムが最新の要件やガイドラインに沿っていることを確認する支援をいたします。LRQAは、業界をリードするトレーニングプログラムを提供することで、認証サービスを提供するにとどまらず、お客様のチームのスキルアップにも貢献しています。
教育研修
ISO 27001に関する知識を深めるために、様々な学習スタイルで提供される各種コースを経験レベルに合わせて設計しています。
ギャップ分析
審査の準備を支援するため、準備状況とISO 27001の要求事項の差異を
明確にするギャップ分析サービスを提供しています。
ギャップ分析の終了後、ISO 27001の要求事項と乖離した部分を記載したレポートが
提出されます。
認定された認証
独立した2段階のプロセスにより、組織の能力を明確に証明し、新規ビジネスの
獲得と利害関係者との信頼関係を構築するのに役立ちます。
統合審査
品質、環境、労働安全衛生マネジメントを含む複数のマネジメントシステムを運用している組織は、統合審査により、コスト削減のための重複した
作業を避け、組織的な評価と監視プログラムの恩恵を受けることができます。
情報セキュリティとサイバーセキュリティへの包括的なアプローチ
LRQAの技術的な深い洞察力と専門知識は、広範なサイバーセキュリティのポートフォリオに支えられており、クライアントのビジネスと協力して、クライアントが直面する特定の脅威を特定し、それを軽減するためのソリューションを提供することが可能です。LRQAは、クライアントのシステムを認証し、脆弱性を特定し、クライアントのブランドの信頼性、財務、業務に影響を与える可能性のある攻撃やインシデントの防止を支援することができます。
LRQAのギャップ分析サービス
ISO/IEC 27001:2022 マネジメントワークショップ
経営陣、意思決定者、リスク管理責任者向けに設計されたこの1日ワークショップでは、ISO 27001をプロジェクトや通常業務に適用できる、具体的で測定および達成可能であり、関連性の高い期限付きのSMART活動や達成目標に展開します。
完了後、ISMS認証の範囲を確定し、それ以降は規格の箇条4の一部として、マネジメントレビューやその他の関連プロセスで使用することができます。
このワークショップでは、組織の他の部門を巻き込むためのアイデアや、他のセキュリティまたはコンプライアンス体制(PCI DSSなど)のために行っている作業をISO/IEC 27001:2022(ISMS)に導入する方法についても説明します。
情報セキュリティマネジメントシステム(ISMS)のレビュー
このレビューは、規格の主な要求事項を基軸としており、経営陣、意思決定者、リスク管理責任者向けに作成されています。ISO/IEC 27001:2022の箇条4から箇条10までの条項に対する組織のコンプライアンスを判断し、コンプライアンスの実現に向けた、お客様のビジネス目標に特化したカスタマイズされた計画を提供します。
情報セキュリティ管理策レビュー
LRQAの専門家は、ISO/IEC 27002:2017のガイドラインを参考に、実質的およびコンプライアンスの手法を組み合わせて、お客様のセキュリティ対策をISO/IEC 27001の附属書Aの管理策に照らして評価します。このレビューでは、お客様の組織全体を網羅的に調査し、セキュリティ対策とリスクレベルの評価を提供するとともに、それらのリスクに対処するためのSMARTな活動/目標を作成する能力を提供します。その他の主な成果物には、適用宣言書(箇条6)と実行計画書の作成が含まれます。
LRQAの実装支援サービス
リスクマネジメント
リスクマネジメントは、ISO/IEC 27001の重要な要素です。お客様と協力し、規格の要求事項を満たし、お客様の組織に適合したリスクマネジメントシステムを構築します。リスクマネジメントシステムは、お客様のISMSに組み込まれ、適用宣言書とともに認証に必要なリスクアセスメントプロセス(情報セキュリティリスクアセスメントとリスク対応を含む)を確実に実施します。
第三者リスクサービス
お客様のデータを保護し、ISO 27001の要求事項を満たすためには、第三者のリスクマネジメントが不可欠です。LRQAの専門家がお客様と協力して第三者のリスクレベルを判断し、それらを管理するための評価プロセスを設計いたします。また、お客様に代わってリスク評価を実施し、リスクの所有者に対してリスクを報告し、改善策を提案することも可能です。
内部監査サービス
内部監査は、情報セキュリティマネジメントシステムの完全性と有効性を維持するための基盤となります。定期的に内部監査を実施することで、改善が必要な領域を特定できるだけでなく、ISO 27001および規制要件への遵守も確保できます。
LRQAのチームが、お客様に代わって円滑に包括的な内部監査を実施し、ISO 27001 箇条9.2の遵守を確保するとともに、継続的な改善の文化を構築します。LRQAの支援により、お客様は確信を持って監査プロセスを推進、改善の機会を特定、また情報セキュリティの優れた取り組みを維持することができます。規格やプロセスに習熟するにつれ、この業務を社内で行うか、LRQAに委託して代わりに実施するかを選択することができます。
LRQAの継続的な支援サービス
統合ワークショップ
複数の競争力のある有効な認証を維持することは、特に変更時には複雑で困難な作業となる可能性があります。LRQAの専門家は、ガバナンスとコンプライアンスが困難な作業ではなく戦略的資産となるよう、積極的かつ実行可能なガイダンスを提供します。
統合ワークショップの一環として、お客様の運用されているコンプライアンス体制をそれぞれ検証し、文書化の合理化やより広範な保証活動を通じて、それぞれがどのように相互に利益をもたらすかを特定します。その後、お客様の組織全体にわたって、異なるマネジメントシステムとコンプライアンス体制を実用的な方法で整合させるための推奨事項を提示し、より強固な保証、マネジメントシステムのより広範な活用、および管理作業の軽減を実現します。
認証サポートおよびサポート体制
ビジネス環境の変化は避けられません。従業員構成の変化、戦略的方向性の変化、組織構造の変化など、さまざまな変化が起こります。さらに、急速に進化する規制環境により、認証の維持は複雑で困難な課題となってきています。LRQAは、あらゆる分野と市場におけるグローバルな規制要件を理解することに専念し、お客様がそれらの規制要件を満たすことができるよう、カスタマイズされた戦略を提供しています。
LRQAの認証サポートおよび付き添いサービスは、お客様のニーズに合わせてカスタマイズされており、マネジメントレビューの主導やリスクマネジメントプログラムのレビューの支援などを含みます。お客様のビジネスとサプライチェーンが成長を犠牲にすることなくコンプライアンスを維持できるよう、LRQAが支援します。
ポリシーおよび文書サポート
テクノロジーがさまざまな場所にあるビジネスをつなぎ、データ収集、モニタリング、分析が変革の可能性を持つという急速に変化する状況において、企業は自社のポリシーが変化する法律に適合していることを確認する必要があります。法律に違反すると、違反に対する高額な罰金や評判の低下など、多大なコストが発生する可能性があります。
すべてのポリシーを作成し、監視することは、時間のかかる作業であることは周知の事実です。多くの組織では、ポリシーの作成や維持に必要な社内での経験や知識が不足しており、ポリシーに関する問い合わせへの対応に苦慮しています。LRQAはこのような状況を支援します。
現場またはリモートに関わらず、LRQAの専門家が、お客様の方針文書のテンプレートを作成し、お客様と協力して最終的な確認と承認のための文書を作成します。これらの文書がすでに存在する場合は、お客様が選択した間隔で定期的なレビューを行い、お客様のビジネスがコンプライアンスを維持していることを確認します。これにより、お客様は業務に集中し、組織を安全かつ確実に前進させることができます。
ISO 27001認証にLRQAを選ぶ理由
世界最大級の認証機関です
世界各地に300人以上の優秀な審査員と250人の専任のサイバーセキュリティ専門家を擁するLRQAは、グローバルに一貫した卓越した献身的なサービスを現地で提供することが可能です。LRQAの社員は、情報およびサイバーセキュリティのリスク、課題、基準、規制、フレームワークについて深い知識を持つ技術専門家です。
対面・リモートでの対応が可能です
ISO 27001の研修と認証サービスは、多くの場合、安全でセキュリティの高い技術を使用して、オンサイトまたはリモートで提供することができます。リモートサービスをご利用の場合、高品質のサービスはそのままに、柔軟性、迅速な提供、グローバルな専門知識へのアクセスなど、さまざまな利点を享受することができます。
世界初のUKAS認定機関
LRQAは、UKAS(United Kingdom Accreditation Service 英国認証機関認定審議会)から認定を受けた最初の認証機関であり、豊富な審査経験と専門知識、およびプロ意識を持ってISO 27001の審査を提供しています。また現在も、さまざまな分野にわたる特定の規格やフレームワークの開発に貢献しています。
専門家の知見
LRQAのサイバーセキュリティ専門家は、CREST、PCI SSC、ISC2、BCI、Chartered Institute of IT、NCSC CHECKといった業界で高い評価を得ている認定資格や認定資格を複数保有しています。
ISO 27001とは?
ISO 27001 は、情報セキュリティマネジメントシステム (ISMS) の要件を定義する国際規格です。この規格は、情報セキュリティ侵害の可能性を低減するために、リスクを管理および緩和するための管理策を特定、分析、および実装するためのベストプラクティスのフレームワークを提供します。規模や業種を問わず、どのような組織でもISO 27001の要求事項を活用し、効果的なISMSを実施することができ、独立した認証を受けることができます。
信頼できる独立した認証機関が提供するISO 27001認証は、情報セキュリティへのコミットメントを示し、ISMSの堅牢性と有効性に関する公平な見方を提供します。これは、契約上の義務を果たすのに役立ち、多くの場合、取引要件として機能します。
ISO 27001の審査はどのように行われるのですか?
ISO 27001の審査は、他の附属書SLに基づくマネジメントシステムと同じアプローチで行われます。教育研修やギャップ分析から始めることもできますが、正式なプロセスでは、ISMSの設計の審査(ステージ1審査)および運用の審査(ステージ2審査)が行われます。これらの審査の結果については、LRQAの独立した有資格者が技術的な審査を行い、ベストプラクティスとの整合性とコミットメントを確認します。
承認されるとISO 27001認証書が発行され、次の3年間を再設定する3年周期の定期審査が開始されます。定期審査により、LRQAと組織の両方が変化に対応し、審査が現在の業界のニーズに適合していることを確認することができます。
ISO 27001認証の有効期間は?
認証は、定期審査を通じて効果的なシステムの維持が実証されることを条件に、3年間有効です。
一般的なISMSの適用範囲と認証登録証には何が含まれますか?
一般的なISMSの適用範囲と認証登録証には、製品及びサービスの提供に関する活動が含まれます。内部活動やISMSプロセスを含める必要はありません。その目的は、製品やサービスを受ける際に提供される情報が保護されていることを保証することです。
適用性の記述は、選択された管理策のリストに言及しています。これらの管理策の詳細を提供するのではなく、前回のISO 27001審査の基礎として使用された管理策への追跡可能な参照を提供します。組織がISO 27001附属書Aから選択した管理策を単にリストアップした、共有可能な公開バージョンを持つこともありますが、これは必須の要件ではありません。
ISO 27001の認証取得には、どのくらいの費用がかかりますか。
費用は、ISMSの範囲内の従業員数に関連する審査日数に基づいています。審査日数は、ISO 27006という規格に掲載されており、どなたでも閲覧可能です。LRQAのような認定された認証機関に依頼すれば、業界のベストプラクティスに基づき、他のすべての認定された認証機関と同等の審査期間が提案されます。
例えば、フルタイム従業員(FTE)100人の組織の場合、最初の審査期間(ステージ1審査+ステージ2審査)は、業種、作業環境の複雑さ、ソフトウェア開発に携わっているか、製品にセキュリティを組み込む必要があるか等によって、8~12日間と予想されます。その後の定期審査は3〜4日/年、更新は6〜8日となります。
すでにISO 9001を取得しています。ISO 27001と統合することはできますか。
可能です。ISO 9001とISO 27001はともに、マネジメントシステムに関する一般的なベストプラクティスモデル(附属書SL)に基づいているため、中核となるマネジメントプロセスを最適化し、両規格の要求事項を満たすことが可能です。実際、両方に対応するシステムを設計することで、組織ガバナンスの有効性が向上します。例えば、事業の成長などのビジネス目標には、しばしば新製品の開発が必要ですが、セキュリティは通常、市場の期待に沿った品質基準と考えられています。また、統合することで重複を最小限に抑え、審査にかかる時間を短縮し、費用対効果の高いオプションを提供することができます。
一般的なISO 27001の認証プロセスとは?
ISO 27001の認証を取得するために必要なプロセスは、情報セキュリティと広範なリスク管理に関するビジネスの成熟度、およびその他の要因に依存します。しかし、ISO 27001の認証を取得するための一般的なプロセスには、次の3つの主要ステップがあります。
- ステージ1 審査 - 文書のレビューと計画:
監査人は、マネジメントシステムの設計と文書化をレビューします(ほとんどの場合、これはリモートで実施されます)。
- ステージ2審査 - 実施状況の評価 :
審査員は、ISO 27001の要求事項に沿って、ISMSの実施と有効性を評価します。不適合がなければ、認証を受けることができます。この段階は、リモートまたはオンサイトで実施されます。
- ISO 27001認証取得を推進する:
国際的に認められたベストプラクティスと継続的な改善への取り組みを証明するもので、新しいビジネスの獲得と顧客要求への取り組みに貢献します。
ISO 27002:2022とは何か、その影響は?
ISO 27002:2022の発行は、ISO 27001に存在する管理策のリストを更新するもので、前回の発行日は2013年にまでさかのぼります。今回改訂された管理項目は、脅威と現在のベストプラクティスの両方に関する開発を反映しており、ISO 27002の適用範囲の拡大により、リスク管理対策が広範囲で効果的であることが保証されます。組織は、包括的な管理策のリストを使用して、特定したリスクに対処し、潜在的なギャップを発見することができます。これは、今日組織が直面している複雑で進化する脅威の状況に対して一歩進んだ状態を維持することにつながります。
ISO 27001の改訂版に関しては?
ISO 27001の改訂版は、2022年10月に発行されました。この新しいISO 27001は、ISO 27002:2022で概説された新しい管理策を備え、組織はリスク評価を再検討し、新しいリスク処理を実施する必要があるかどうかを判断することが求められます。
関連認証サービス
マネジメントシステム、教育研修、ガバナンス、リスク管理など包括的なサービスを提供します。