情報化社会の進展に伴い、組織の「情報」は、経営のための資産の一つとして認識されるようになりました。 しかし、情報管理が適切に実施されなかった場合、組織のイメージや存続が危ぶまれます。
組織の重要な情報に、脅威および 脅威を誘引する情報管理の脆弱性により発生するリスクは、完全に排除することは、極めて困難です。しかし、重要な情報に リスクが発生した場合、処置が遅れることで、問題はさらに深刻なものになります。
- 脅威:例.漏えい、改ざん、利用停止等
- 脆弱性:例.アクセス制御の設定ミス、鍵の未施錠、ルールの認識不足等
- リスク:脆弱性により、脅威が発生し、情報に及ぼす影響が発生する現実的な可能性のこと
情報に関するリスクの発生は、組織のイメージが失墜する場合もある、深刻な問題です。このようなリスク は、組織の規模、業種、または企業風土に関わらず潜在しています。 組織の外部と接点があり、情報管理の脆弱性を有する組織では、このようなリスクを引起す可能性が高くなります。
ISO/IEC 27001:2013について
「情報セキュリティ」とは、情報を以下の3つの側面で保護することをいいます。
•機密性 :例.重要な情報等がアクセス権のない人物によって閲覧されることがないこと。
•完全性: 例.アクセスし、利用する情報が完全であること。また、処理した情報が正確であること。
•可用性 :例.必要な時に情報にアクセス及び利用できること。
組織の情報セキュリティを維持するための仕組みとして、1995年に情報セキュリティマネジメ ントシステム(以下、「ISMS」という)が、BS7799という英国規格にまとめられました。この規格は、2002年に 品質マネジメントシステムや環境マネジメントシステムの仕組みと整合性がとられた後(BS7799-2:2002)、 2005年10月に「ISO/IEC27001:2005」という国際規格になり、ISO/IEC27001:2013が最新規格となります。
情報は、事業を運営するために必須の資産であり、ツールでもあります。しかし、組織の情報に、脅威および脅威を誘引する情報管理の脆弱性からリスクが発生した場合、顧客情報の漏えいや不正アクセスにより、組織のみならず、株主や顧客、取引先などにも影響を与えてしまいます。組織の一部分だけに頼らず、組織全体で情報セキュリティを維持することは、非常に重要な経営課題です。
「ISO/IEC 27001:2013」の認証を取得することによりこのような経営課題を解決していくことができます。
ISMS構築に必要な事項
| 規格の文書化 |
- 情報セキュリティ基本方針の策定
- 適用宣言書の策定
- 各種規程類の策定
|
| リスクアセスメントの実施 |
- 資産の洗い出し
- リスクの分析および評価
- 管理目的および管理策の選択
|
| リスク対応計画の実施 |
|
| 教育及び訓練の実施 |
- 情報セキュリティ教育・内部監査員養成教育の実施
- 教育の効果の確認
- BCPの訓練の実施およびフィードバック
|
| 内部監査の実施 |
- 監査計画の策定
- 監査の実施
- 監査結果の是正および予防処置の実施
- 監査のフォローアップ活動の実施
|
| 管理策および管理策一式の有効性の評価 |
|
| ISMSの有効性の評価 |
|
| マネジメントレビューの実施 |
- マネジメントレビューへのインプットおよびアウトプット
- マネジメントレビューの記録の策定
|
| 改善活動の実施 |
- 是正および予防処置の実施
- 予防処置を実施した場合、リスクの変化の識別
- 情報セキュリティインシデントへの対応
|
認証取得までのプロセス
認証申請をされてから、次のような段階を経て、「ISO/IEC 27001:2013」の認証を取得することができます。
