ISO 27001 認証取得サービス

情報セキュリティマネジメントシステム認証

情報セキュリティマネジメントシステム認証

ISO 27001(ISMS)が求められるようになった背景

情報化社会の進展に伴い、組織の「情報」は、経営のための資産の一つとして認識されるようになりました。 しかし、情報管理が適切に実施されなかった場合、組織のイメージや存続が危ぶまれます。

組織の重要な情報に、脅威および 脅威を誘引する情報管理の脆弱性により発生するリスクは、完全に排除することは、極めて困難です。しかし、重要な情報に リスクが発生した場合、処置が遅れることで、問題はさらに深刻なものになります。

  • 脅威:例.漏えい、改ざん、利用停止等
  • 脆弱性:例.アクセス制御の設定ミス、鍵の未施錠、ルールの認識不足等
  • リスク:脆弱性により、脅威が発生し、情報に及ぼす影響が発生する現実的な可能性のこと

情報に関するリスクの発生は、組織のイメージが失墜する場合もある、深刻な問題です。このようなリスク は、組織の規模、業種、または企業風土に関わらず潜在しています。 組織の外部と接点があり、情報管理の脆弱性を有する組織では、このようなリスクを引起す可能性が高くなります。 

上記のようなリスクから情報資産を保護し、情報資産の価値を高めることを目的として、ISO 27001は開発されました。ISO 27001の概要と認証取得までのプロセスは以下の通りです。

 

ISO 27001(ISMS)とは

ISO 27001(ISMS)とは、組織の情報セキュリティ管理のための国際規格の一つです。

組織の情報セキュリティを維持するための仕組みとして、情報セキュリティマネジメントシステム(ISMS)がまとめられ、品質マネジメントシステムや環境マネジメントシステムの仕組みと整合性がとられた後、 2005年に「ISO/IEC27001:2005」という国際規格になり、現在はISO/IEC27001:2013が最新規格です。

ISO27001(ISMS)とは-要求事項や取得までの流れ

ISO/IEC 27001:2022 移行に関する情報はこちら(PDF)

 

ISO/IEC 27001:2013について

まず「情報セキュリティ」とは、情報を以下の3つの側面で保護することをいいます。

•機密性 :例.重要な情報等がアクセス権のない人物によって閲覧されることがないこと。

•完全性: 例.アクセスし、利用する情報が完全であること。また、処理した情報が正確であること。

•可用性 :例.必要な時に情報にアクセス及び利用できること。

 

情報セキュリティマネジメントシステム(ISMS)は、組織の情報セキュリティを維持するための仕組みとして、1995年に英国規格BS7799としてまとめられました。この規格は、2002年に品質マネジメントシステムや環境マネジメントシステムの仕組みと整合性がとられた後(BS7799-2:2002)、2005年10月に「ISO/IEC27001:2005」という国際規格になり、現在はISO/IEC27001:2013が最新規格です。

情報は、事業を運営するために必須の資産であり、ツールでもあります。しかし、組織の情報に、脅威および脅威を誘引する情報管理の脆弱性からリスクが発生した場合、顧客情報の漏えいや不正アクセスにより、組織のみならず、株主や顧客、取引先などにも影響を与えてしまいます。組織の一部分だけに頼らず、組織全体で情報セキュリティを維持することは、非常に重要な経営課題です。

「ISO/IEC 27001:2013」の認証を取得することによりこのような経営課題を解決していくことができます。

 

ISO 27001(ISMS)構築に必要な事項

規格の文書化 
  • 情報セキュリティ基本方針の策定
  • 適用宣言書の策定
  • 各種規程類の策定
 リスクアセスメントの実施
  •  資産の洗い出し
  • リスクの分析および評価
  • 管理目的および管理策の選択
 リスク対応計画の実施
  •  リスク対応計画の策定・実施・進捗管理
 教育及び訓練の実施
  • 情報セキュリティ教育・内部監査員養成教育の実施
  • 教育の効果の確認
  • BCPの訓練の実施およびフィードバック
 内部監査の実施
  • 監査計画の策定
  • 監査の実施
  • 監査結果の是正および予防処置の実施
  • 監査のフォローアップ活動の実施
 管理策および管理策一式の有効性の評価  

 ISO 27001(ISMS

の有効性の評価

 
 マネジメントレビューの実施
  • マネジメントレビューへのインプットおよびアウトプット
  • マネジメントレビューの記録の策定
 改善活動の実施
  • 是正および予防処置の実施
  • 予防処置を実施した場合、リスクの変化の識別
  • 情報セキュリティインシデントへの対応

 

ISO 27001(ISMS)認証取得までのプロセス

認証申請をされてから、次のような段階を経て「ISO/IEC 27001:2013」の認証を取得することができます。
    
ISO14001

 

テュフズードのISO 27001(ISMS)認証取得サービス

  • ISO 27001(ISMS)認証審査サービス - テュフズードジャパンは、事前相談、契約締結に続き、テュフズード審査員による第1段階審査、第2段階審査およびすべての不適合の是正処置の検証を実施し、弊社認証委員会の承認後に審査報告書と認証書を発行いたします。
  • 研修サービス - テュフズードジャパンは、規格要求事項の概要を提示する基礎コースを開設しています。
  • その他の試験および認証サービス - テュフズードの専門家がお客様のWebサイトおよび社内ネットワークの脆弱性を発見するために特殊な技術を使用し、発生前に攻撃の与える影響を評価します。検証を実施し優先順位を付加した、注意すべき脅威のリストを提供します。

ISO 27001(ISMS) 認証取得に関するお問い合わせはこちら 

 

 

もっと知る

テュフズードジャパン27001
ストーリー

ISO 27001(ISMS)とは? 要求事項や認証取得までの流れ

ISO 27001の概要から要求事項、取得までの流れについて解説します。

詳細はこちら

Safety IEC 61508 Security IEC 62443
インフォシート

ISO 27001 情報セキュリティマネジメントシステム認証

サービス内容をご紹介するリーフレットです。どなたでもダウンロードいただけます(登録不要)。

詳細はこちら

ISO 9001:2015 Quality Management System
ホワイトペーパー

ISO 9001:2015

ISO 9001:2015改定に関する詳細、認証取得の準備に必要な資料を解説しているホワイトペーパーです。

詳細はこちら

ケーススタディ

フジコン株式会社

内部監査員は50名超!マネジメントシステム認証を、人材育成と事業成長のチャンスに

詳細はこちら

次のステップ

Site Selector