| ● アイソ・ラボ株式会社 |
| |||||||||||||||||||||||||||||| トップページにGo |||||||||||||||||||||||||||||| ||||||||||||||||||||||||||||||| 来たところに戻る ||||||||||||||||||||||||||||||| |
■■ISO27001とは?ISO27001とは、組織内の機密情報を漏洩させないことを目的とした社内体制を整備するための国際規格のことです。 2006年には、ファイル交換ソフト「ウイニー」を介した情報漏洩事件が多発しました。 中でも、自衛隊の機密情報、警察の捜査情報の漏洩は、 政府の情報セキュリティ対策に一石を投じた事件です。 最近は、ややもすれば「情報セキュリティ事件・事故 = 個人情報漏洩」と思われがちですが ウイニー騒動は情報セキュリティ対策を考え直すひとつのきっかけになりました。 今まで情報漏えい等の事故が無かったからといって、情報セキュリティが安全に 管理された状態とは限りません。 顧客情報を机の上に置きっ放しで失くしたり、ウィルスに感染して外部に ウィルスをばら撒いたりすれば、企業の信頼性を損なうことになります。 顧客や社会の信用を失ってしまったら、それを取り戻すためには 大変な努力が必要になります。 失ってから「信用やブランドの大切さ」が分かっても手遅れです。 経済産業省は情報セキュリティに対する努力を企業価値として評価することを発表しました。 内閣府は2009年4月までには全ての企業がISO27001取得を推薦する セキュリティ対策実施を明言しています。 これを受けて今後は、官公庁はもとより一般企業においても「ISO27001認証取得」を 入札条件や取引条件とする動きが加速してくると思われます。 ■■ISO27001の基本的な考え方ISO27001の基本的な考え方は、組織の情報資産を洗い出し、 その情報資産に対する脅威と脆弱性(弱点)からリスクを特定し、 管理対策を行っていくというものです。 そこには、技術的な対策だけでなく、組織的・人的な対策を含んでおり、 情報そのものだけでなく、ハードウェア、ソフトウェア、要員管理、ルール、 手順にまで、総括的に目が向けられています。 さらに、ISO27001は汎用的・戦略的システムであり、あらゆる業種、 あらゆる規模の組織で使用でき、組織特性を考慮したセキュリティ対策を 積極的・能動的に行うことが出来るものです。 ■■何をすればISO27001は取得できるのか?ISO27001を取得するには、以下のことを行うことになります。 @リスクを分析・評価する。 社内の機密情報の洗い出し、価値評価の後に「守るべき情報」を設定します。 その機密情報のリスクを分析・評価しリスク対策の必要性を判断します。 A詳細管理策を選定する。 133項目の中から、リスク対策を実施する上で必要な管理策を選定します。 Bツールを検討する。 何らかのリスク対策を検討する中で、ソフトウェア・ハードウェア・ネットワークなどの ツールの導入により対策が実施できるものを検討、決定します。 C手順を文書化する。 ISO27001の要求事項には、情報漏洩防止のためにやるべきことが書いてあります。 やるべきことをどのような方法でやるかは、あなたの会社が決めます。 決めたことを文書にします。 作成する文書には ISMSマニュアル、適用宣言書、管理策文書、記録様式などがあります。 文書を作る際に最も重要なことは「やれることをシンプルに作る」ということです。 やれないことや、やらないことは書かないことです。 文書が多いと、全体像を理解できない、読むべき人が読まない、メンテナンスが大変などの 弊害が生じます。可能な限り少量の文書を作るよう工夫が必要です。 ここでもコンパクトISOの考え方が生きてきます。
D手順通りに実施する。 ISMSマニュアルや文書に書いたことを実行します。 実行すれば記録が残ります。(ISO27001の中で記録を残す要求があるからです) 日常の実施の他に、内部監査やマネジメントレビュー(経営者によるシステムの見直し)も 審査前に必ず実施しておく必要があります。 E審査を受ける。 審査機関に申請して審査を受けます。 ISO27001が要求している文書は作られているか? マニュアル化した通りに実施されているか?、を審査します。 「実施している証拠を見せて下さい」と問われて困らないようにしておくことが必要です。 審査を無難に通過できにように内部監査を行って確認しておきましょう。 弊社では必ず模擬審査を行って審査を受ける練習をして頂いています。 ■■認証取得のメリット■受注の増大情報漏洩に関しては、お客さんが日を追うごとに神経質になってきています。それは、情報の漏洩などによる信用失墜や、企業機密が漏れることで いかに自社のビジネスが不利になってしまうかという危険に社会全体も 気づき始めたということでもあります。 今後の日本全体の方針や、情報セキュリテイ上のリスクの増加を考慮すると、 「情報セキュリティ」のしっかりしている企業に発注したいと思うのは当然の発想です。 このようなことから次のようなメリットが生じると思われます。 ◎官公庁や大手ITベンダーに対する受注増大 ◎他社との差別化による受注増大 ◎対外的な信頼向上によるビジネスチャンスの拡大 ■リスクの低減「気づかないまま失敗した」というリスクが減少します。個々の対策のみ実施している場合には、「これは気づきませんでした」 「気づいていましたが自分の部署ではないので手が出せませんでした」 といった言い訳がましいこともISO27001を導入すれば、 こうした問題は大幅に削減できます。 ◎情報漏洩の未然防止になります。 ◎不正アクセスへの組織的対応ができるようになります。 ◎システム破壊/事故対応力の向上します。 ■社員のセキュリティ意識の向上「お客さんにご迷惑をお掛けしたくない」「自分たちのノウハウを盗まれるのはいやだ」というお客様を大切にし、自分の仕事に誇りを持つ人財が増えてきます。 情報セキュリティに関しては、原則「今のルールを守る」ということが基本ですが、 それに加えて「これは放っておいてはまずいぞ」という気づきや 対策案を搾り出すアイデアなどいろいろな力量が磨かれます。 ■■ISO27001コンサルタントの必要要件は?ISO27001の詳細管理策を読むと、「通信及び運用管理」「アクセス制御」 「情報システムの取得、開発及び保守」など物理的な内容だけでなく 「情報システム」関連の言葉がたくさん出てきます。 ISO27001は、パソコンのシステム廻りに関係する要求内容が 133の詳細管理策の中でも半分以上あります。 ISO27001のコンサルタントには、 「情報システム系の知識や経験」が必須です。 アイソ・ラボでは、大手ソフトウエア会社であるN○T、H立、F通、銀行のシステム部出身の ISOコンサルタントが担当します。ご安心下さい。 ■■ISO27001コンサル見積依頼と資料提供a)参考書「取る前に読む本 ISO27001編」の準備ができました。 ISO27001に取り組む前に知っておきたいことを解説しました。 取得した後では遅すぎます。知らなかったことで後悔するかも〜?
b)資料販売 情報版コンパクトISOタイプの情報セキュリティマニュアルと様式等を販売しています。 情報セキュリティマニュアル30ページ+情報管理標準書+適用宣言書+様式集のセットです。 ISO27001取得の際に役に立ちます。 情報セキュリティマニュアルの内容は業種に左右されず共通に使えるものです。 こちらからお申し込み頂けます。 c)コンサルティング見積依頼 ISO27001認証取得コンサルティングの見積依頼はこちらからお願いします。 ISO27001のコンサルタントは、福岡、神戸、名古屋、東京、千葉、札幌にいます。 |
| アイソ・ラボ株式会社 札幌、苫小牧、仙台、茨城、千葉、東京、西東京、名古屋、大阪、神戸、福岡、熊本、鹿児島 本社 〒838-0138 福岡県小郡市寺福童426 フリーダイヤル 0120−100−433 電話 0942-73-1470 FAX 0942-73-1410 mail:info@isolabo.com Copyright (c) 2003-2012 ISOLABO Co.Ltd, All rights reserved. |