ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第1回 ISO27001は認証範囲を決めることから始まる | ScanNetSecurity
2026.07.11(土)

ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第1回 ISO27001は認証範囲を決めることから始まる

 ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜

特集 特集
 ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

                    株式会社JMCリスクマネジメント
                         太田 智明、浦名祐輔
        http://rm.jmc.ne.jp/service/iso27001/27column01.html

<ISO27001新米担当者のつぶやき>

■「君がメインでISO27001取得を進めてくれ」

 はじめまして、僕の名前は磯一郎と言います。とあるシステム開発会社の情報システム部に所属していて、社会人5年目になります。そろそろ仕事にも慣れてきて充実した日々を送っていたのですが、ある日、部長に呼ばれてこう言われました。

「うちの会社でISO27001を取ることにしたよ。他のメンバーは手一杯なので磯君、君がメインとなって進めてくれ。」

 いきなりの話で驚きました。ISO27001?何のことだかさっぱり分かりません。「こうやって丸投げするの、うちの会社の悪いとこだよな…」ただ上司の指示なので逆らうわけにもいかず、しぶしぶ承諾して席に戻りました。

■ISO27001取得には審査に合格する必要あり

 早速インターネットで「ISO27001」と調べてみると、いくつか情報が収集できました。

「別名ISMSと呼ばれているらしい。ISMSとは『情報セキュリティマネジメントシステム』が正式名称のようだ。審査に合格すると、ISO27001を取得していることを名乗れるらしい。どうやらセキュリティ対策を充実させないとダメみたいだ。日本では約2,500社が取っている。なるほど、審査に合格する必要があるのか。でも審査を受けるための条件が、いまだによく分からないな…」

 こんな調子で調べていると、背後から声をかけられました。最近中途で入社してきたAさんです。どうやらAさんは以前所属していた会社でISO27001取得に携わったことがあるらしく、僕がISO27001について調べているのを見かけて声をかけたそうです。

 Aさんに事の経緯を話すと、このようなことを言われました。

■認証範囲を決めることから構築は始まる

Aさん:
「最初に『認証範囲』を決めないとダメだよ。それによって必要なメンバー、スケジュール、コストが変わってくるからね。ISO27001は全社で取ることもできるし、業務ごとに取ることもできるんだ。実際、僕が前の会社で携わった時はシステム開発部門だけで取ったんだよ。」

「なるほど。そんな仕組みがあったのか。いい情報を手に入れた。でも全社で取るのか、特定の業務だけで取るのか、どっちがいいんだろう?部長に相談したら、『全社で取れ』と言ってたし。とりあえず指示には従っておくけど、本当は全社で取るのと、業務で部分的に取ることのメリットの違いが存在するんじゃないかな?」

 こんなことを考えているうちに、今日の就業時間は終わってしまいました。

<ISO27001コンサルタントからのアドバイス>

■これからの疑問、不明点を解説

 おやおや、早くも困っているようですね。
私はISO27001コンサルタントをしている山田太一といいます。

 今後、磯一郎さんがISO27001を認証取得するまでの様々な疑問点、不明点を解説していきます。早速ですが、今回磯さんが悩んでいる[1]「そもそもISO27001とは何か」、[2]「適用範囲を決めるポイント」、[3]「事業全体での認証か、部分認証か」の3点について…

【執筆:太田 智明、浦名 祐輔】

 ※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
  コラムの全文は、同社下記情報サイトから利用可能です。
   http://rm.jmc.ne.jp/service/iso27001/27column01.html

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  2. 東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

    東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

  3. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

  4. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  5. シード・プランニングにランサムウェア攻撃、顧客から預かった個人情報は流出していないと判断

    シード・プランニングにランサムウェア攻撃、顧客から預かった個人情報は流出していないと判断

ランキングをもっと見る
PageTop