ISO 27001(情報セキュリティ)
JQAは、情報資産活用の効果をより高めていく情報セキュリティマネジメントシステム(ISMS)審査を目指します。
よくあるご質問
審査工数はどのように設定されるのですか?
組織の実態に合わせて、組織ごとに設定しています。
JQAの審査は、業務/プロセス/システムの各レベルでPDCAが回せているか、マネジメントシステムが有効に機能しているかについて、実際の業務(プロセス)の流れに沿って確認します。このためJQAでは、組織の規模やサイトの数、情報セキュリティリスクの大きさなどを考慮して、その組織に必要な審査工数を組織ごとに設定しています。
審査日程はどのように申し込めばよいのでしょうか?
審査希望月の4カ月前までに、審査登録申込書をご提出ください。
JQAでは、組織の業種特性を考慮した審査チームを編成しています。そのため、審査希望月の4カ月前までに、審査登録申込書と審査日程申込書を、併せてご提出いただくようお願いしています。
ISO 27001の適用範囲はどのように決定するのでしょうか?
適用したいサービスに応じて、任意に決められます。
ISO 27001の規格内に「組織又は組織の一部が、必要性に応じて情報セキュリティ管理策を適切に実施できるように要求事項を規定している」とあります。これは、組織が適用範囲としたいサービス内容を明確にし、そのサービスを維持・提供する際に管理が必要とされる資産を守るために、リスクアセスメントを実施し、必要な管理目的および管理策を決定することを意図しています。したがって、適用する組織は取得対象のサービスに応じて組織全体もしくは一部とすることが可能です。
プライバシーマーク(Pマーク)とISO 27001の違いは何でしょうか?
情報セキュリティのすべてをカバーするのがISO 27001です。
Pマークは、個人情報の取り扱いに特化したマネジメントシステムで、日本国内でのみ使われています。一方ISO 27001は、組織の情報セキュリティのすべてをカバーするマネジメントシステムで、全世界共通で使われています。
組織の情報資産は個人情報だけではありません。ISO 27001は、個人情報だけではなく組織が保有する情報すべてのリスク管理を行い、情報に対するさまざまなリスクを低減・回避・予防することを目的としています。
