Web制作系の会社であれば、よく見かける「Pマーク」ですが、その他に「ISO27001」や、「ISMS」というマークを見たことがある方は多いのではないでしょうか。筆者の感覚的には主にシステム系の会社が多いイメージですが、この意味ってご存じでしょうか?
実はあまり知らないという方も多いかとは思いますので、今回はこの「ISO27001」や「情報セキュリティマネジメントシステム(ISMS)」について紹介したいと思います。
ISOとは?
「ISO」とは「国際標準化機構(International Organization for Standardization)」の略語でスイス・ジュネーヴに本部が置かれる、各国の国家標準化団体で構成される非政府組織のことです。国際規格を定める団体という認識でOKです。
ISOは下記でご紹介する様々な規格に関して、明確なルールを制定し、「この会社は世界的な基準を満たしたことを私たちが保証します。」というお墨付きを申請希望している会社に与えることになります。
情報セキュリティマネジメントシステム(ISMS)とは?
「ISMS」を略さずに言うときは「あい・えす・えむ・えす」と言います。ISMSとは企業や組織などの情報を守るための仕組みのことで、略さずに記載すると
「Information Security Management System」
と書きその4つの頭文字を取って、「ISMS」と書かれます。
実際にどういった物なのか?というのを結論からいうと、「機密情報を外部などに漏洩・改ざん・削除されないように、機密情報を適切に管理できる仕組み」ということです。
情報セキュリティとは?
情報セキュリティと聞いて、すぐにイメージされるのが下記だと思います。
- パスワードを設定する(二段階ロックなど)
- セキュリティソフトを導入する
こういったセキュリティ対策に関しては外部から不正アクセス防止策として、非常に有効なのですが、単に「不正アクセス防止」というのみが情報セキュリティというワケでは無いのです。情報セキュリティというのは情報に関する3点を確保することと定義されております。
- 機密性:その情報に関係ない人間が使用できない状態
- 完全性:その情報を破損や改ざんなどされずに完全な状態である状態
- 可用性:その情報に関係ある人は常に利用可能な状態
具体的な例で出さないとややこしいかとは思いますが、
- 機密性:そのファイルにアクセス権限を掛ける
- 完全性:編集履歴の記録や、上書き自体が出来ないようにする
- 可用性:バックアップや、クラウドストレージの利用
といったところでしょうか。
この3つの内、どれかが特化してしまうのはバランスが取れなくなりNGになるので、バランスが取れるように3つの要素が釣り合うようにし管理しましょうということです。
ちなみにここまで引っ張ってはいますが、ISO27001と情報セキュリティマネジメントシステム(ISMS)というのは同じ意味になりますので、覚えておきましょう。
ISO27001とPマークの違い
比較的Pマークを取得されている会社は多いかとは思いますが、パッと見は「両方同じものじゃないの?」と思われるかとは思いますが、少し違いますので、分かりやすく表にしてみました。
[table id=2 /]
保護範囲や対象の違いなどもありますが、そもそも国際規格なのか、日本規格の違いなのかという点でもありますよね。特に最近はグローバル化になっているので、世界にも通じる規格の方が何かといいかも知れないですね。
ちなみにプライバシーマークについては、以下の記事をご覧なってください。
ISOにもいろいろと種類がある!?
最近、様々な会社の研究のためにいろいろなコーポレートサイトにアクセスするのですが、そこでよく見るのはISMSはISO27001ですが、工場やトラックなどでも「ISO○○」といった表記を見たことはありませんか?
実はISOというのはWeb制作会社が取得するような情報セキュリティ以外にもあるので、それらを紹介していきます。
ISO9001
ISO9001とは「品質マネジメントシステム(Quality Management System)」という品質に関する規格になります。
これは「うーん、こういう風にしたらいい商品・サービスが作れる」という証ではなく、「よい商品・サービスを製造するためのシステムを管理する」ということです。
要は顧客満足度を上げる仕組みづくりということですね。
ISO14001
ISO14001とは「環境マネジメントシステム(Environmental Management System)」という環境に関する規格になります。
これはその組織・会社のまわりにいる全ての人(周辺住民や関係者)や、環境など対して、「何か影響を及ぼしていないよね?出していたら、それを解決できる仕組みがあるので、解決しましょう!」という環境問題を解決できる仕組みを持っているという規格です。
ISO22000
ISO22000とは「食品安全マネジメントシステム(Food Safety Management Systems)」という食品に関する規格になります。
これは衛生面なども含めて、消費者に安全な食品を提供できるような仕組みの規格になります。
食品製造会社であれば、原材料に身体に有害な薬品が含まれていないのか、製造過程で工場が衛生的なのか?いろんな物が混入していないか?などを細かくチェックし、安全に提供できる仕組みづくりが出来ているのであれば、規格を取得することが出来ます。
ISO45001
ISO45001とは「労働安全マネジメントシステム(Occupational Safety and Health Management System)」という労災に関する規格になります。
特に工場などで多く取得されていることが多いかとは思いますが、組織全体で労災防止や、福利厚生や組織の満足度や効率を向上させる仕組み作りのことを指します。
まとめ
今後、アウトバウンドセールスより、インサイドセールスが重要視されるかとは思います。そういった中で、他社との差別化というのは非常に大事かとは思います。その中でISOを取得するのは非常に有効かとは思います。
最近に始まったことではないですが、特にIT業界では情報漏えいなどは非常に問題視されているので、情報漏えい防止策の一環として、一度、検討されるのはいかがでしょうか。
コメント