| ● アイソ・ラボ株式会社 |
| |トップページ|こんなISOが良い|最重要3つの秘策|お客様の声|プロフィール|資料紹介|申込みコーナ| |
■■ISO27001とは? ISO27001とは、組織内の機密情報を漏洩させないことを目的とした 社内体制を整備するための国際規格のことです。 2006年には、ファイル交換ソフト「ウイニー」を介した情報漏洩事件が多発しました。 中でも、自衛隊の機密情報、警察の捜査情報の漏洩は、 政府の情報セキュリティ対策に一石を投じた事件です。 最近は、ややもすれば「情報セキュリティ事件・事故 = 個人情報漏洩」と思われがちですが ウイニー騒動は情報セキュリティ対策を考え直すひとつのきっかけになりました。 今まで情報漏えい等の事故が無かったからといって、情報セキュリティが安全に 管理された状態とは限りません。 顧客情報を机の上に置きっ放しで失くしたり、ウィルスに感染して外部に ウィルスをばら撒いたりすれば、企業の信頼性を損なうことになります。 顧客や社会の信用を失ってしまったら、それを取り戻すためには 大変な努力が必要になります。 失ってから「信用やブランドの大切さ」が分かっても手遅れです。 経済産業省は情報セキュリティに対する努力を企業価値として評価することを発表しました。 内閣府は2009年4月までには全ての企業がISO27001取得を 推薦するセキュリティ対策実施を明言しています。 これを受けて今後は、官公庁はもとより一般企業においても「ISO27001認証取得」が 入札や取引条件とする動きが加速してくると思われます。 ここでISO27001の認証取得が必要になってくるのです。 ■■ISO27001の基本的な考え方 ISO27001の基本的な考え方は、組織の情報資産を洗い出し、 その情報資産に対する脅威と脆弱性(弱点)からリスクを特定し、 管理対策を行っていくというものです。 そこには、技術的な対策だけでなく、組織的・人的な対策を含んでおり、 情報そのものだけでなく、ハードウェア、ソフトウェア、要員管理、ルール、 手順にまで、総括的に目が向けられています。 さらに、ISO27001は汎用的・戦略的システムであり、あらゆる業種、 あらゆる規模の組織に適用でき、組織の特性を考慮したセキュリティ対策を 積極的・能動的に講じることができるものです。 ■■何をすればISO27001は取得できるのか? ISO27001を取得するには、次のような手順が必要になります。 @リスクを分析・評価する。 社内の機密情報の洗い出し、価値評価の後に「守るべき情報」を設定します。 その機密情報のリスクを分析・評価しリスク対策の必要性を判断します。 A詳細管理策を選定する。 133項目の中から、リスク対策を実施する上で必要な管理策を選定します。 Bツールを検討する。 何らかのリスク対策を検討する中で、ソフトウェア・ハードウェア・ネットワークなどの ツールの導入により対策が実施できるものを検討、決定します。 C手順を文書化する。 ISO27001の要求事項には、情報漏洩防止のためにやるべきことが書いてあります。 やるべきことをどのような方法でやるかは、あなたの会社が決めます。 決めたことを文書にします。 作成する文書には ISMSマニュアル、適用宣言書、管理策文書、記録様式などがあります。 文書を作る際に最も重要なことは「やれることをシンプルに作る」ということです。 やれないことを作り込みすぎると実際の運用時に困ってしまいます。 文書が多いと理解できない、読む気がしない、メンテナンスが大変などの弊害が生じます。 可能な限り少量の文書を作るよう工夫が必要です。 ここでまたコンパクトISOの考え方が生きてきます。 D手順通りに実施する。 ISMSマニュアルや文書に書いたことを実行します。 実行すれば記録が残ります。(ISO27001の中で記録を残す要求があるからです) 日常の実施の他に、内部監査やマネジメントレビュー(経営者によるシステムの見直し)も 審査前に必ず実施しておく必要があります。 E審査を受ける。 審査機関に申請して審査を受けます。 ISO27001が要求している文書は作られているか? マニュアル化した通りに実施されているか?、を確認されます。 「実施している証拠を見せて下さい」と問われて困らないようにしておくことが必要です。 審査を無難に通過できにように内部監査を行って確認しておきましょう。 弊社では必ず模擬審査を行って審査を受ける練習をして頂いています。 ■■認証取得のメリット ■受注の増大 情報漏洩に関しては、お客さんが日を追うごとに神経質になってきています。 それは、情報の漏洩などによる信用失墜や、企業機密が漏れることで いかに自社のビジネスが不利になってしまうかという危険に社会全体も 気づき始めたということでもあります。 今後の日本全体の方針や、情報セキュリテイ上のリスクの増加を 考慮すると、「情報セキュリティ」のしっかりしている企業に 発注したいと思うのは当然の発想です。 このようなことから次のようなメリットが生じると思われます。 ◎官公庁や大手ITベンダーに対する受注増大 ◎他社との差別化による受注増大 ◎対外的な信頼向上によるビジネスチャンスの拡大 ■リスクの低減 「気づかないまま失敗した」というリスクが減少します。 個々の対策のみ実施している場合には、「これは気づきませんでした」 「気づいていましたが自分の部署ではないので手が出せませんでした」 といった言い訳がましいこともISO27001を導入すれば、 こうした問題は大幅に削減できます。 ◎情報漏洩の未然防止になります。 ◎不正アクセスへの組織的対応ができるようになります。 ◎システム破壊/事故対応力の向上します。 ■社員のセキュリティ意識の向上 「お客さんにご迷惑をお掛けしたくない」「自分たちのノウハウを盗まれるのはくやしい」という お客様を大切にし、自分の仕事に誇りを持っている人財が増えてきます。 情報セキュリティに関しては、原則「今のルールを守る」ということが基本ですが、 それに加えて「これは放っておいてはまずいぞ」という気づきや対策案を 搾り出すアイデアなどいろいろな力量が磨かれます。 ■■ISO27001コンサルタントの必要要件は? ISO27001の詳細管理策を読むと、「通信及び運用管理」「アクセス制御」 「情報システムの取得、開発及び保守」など物理的な内容だけでなく 「情報システム」関連の言葉がたくさん出てきます。 ISO27001は、パソコンのシステム廻りに関係する要求内容が 133の詳細管理策の中でも半分以上あります。 ISO27001でコンサルタントに求められる知識は「情報システム系の内容」を 良く知っていること」が望ましいと言えるでしょう。 アイソ・ラボには、大手ソフトウエア会社であるH社やF社出身の ISOコンサルタントがいます。ご安心下さい。 ■■ISO27001コンサル見積依頼と資料販売 a)見積依頼 ISO27001認証取得支援の見積依頼はこちらからお願いします。 b)資料販売 情報版コンパクトISOタイプの情報セキュリティマニュアルと様式等を販売しています。 情報セキュリティマニュアル30ページ+情報管理標準書+適用宣言書+様式集のセットです。 ISO27001取得の際に役に立ちます。 情報セキュリティマニュアルの内容は業種に左右されず共通に使えるものです。 こちらからお申し込み頂けます。 |
|トップページ|こんなISOが良い|最重要3つの秘策|お客様の声|プロフィール|資料紹介|申込みコーナ|ISO9001 ISO14001 ISO22000 ISO27001 ISO13485 OHSAS ISO9100 |
| アイソ・ラボ株式会社( アイソラボ出版) 札幌、苫小牧、仙台、東京、名古屋、滋賀、福岡、熊本、鹿児島 本社 〒838-0138 福岡県小郡市寺福童426 問い合せはフリーダイヤル 0120−100−433へ 電話 0942-73-1470 FAX 0942-73-1410 mail:yuhirakawa2@nifty.com Copyright c 2008 ISOLABO Co.Ltd, All rights reserved. |