ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)のメリット
ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)の認証・取得のメリット
ISO/IEC27001の導入により、事業プロセスと連携した、全社的または部門横断的な情報セキュリティのマネジメントシステムのPDCAサイクルを回すとともに、技術の進歩や外部・内部のインシデントの動向に応じた管理策の継続的改善を行うことで、情報セキュリティの維持・強化を行うことが可能となります。
具体的には、リスクの客観的な見直しを行い、変化するリスクと見合った管理策の強化による情報セキュリティインシデントの低減または抑制が期待できるのです。機密性のみならず、完全性、可用性のバランスの取れた対策をとることで、安全性と効率性(情報活用)の両立を図ることを目指し、結果的に、社内の仕事の質の向上にもつなげつつ、取引先や一般消費者などの利害関係者からの信頼を得ることができます。
- 情報セキュリティ管理の客観的な見直し
- リスクアセスメントによる情報資産とリスクの可視化
- 情報漏えいリスクの低減
- 機密性、完全性、可用性のバランスのとれた対策
- リスク対応策の陳腐化の防止
- 継続的改善と社会変化に対する対応力の確保
- 取引先や消費者などの利害関係者からの信頼性の向上
ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)の課題解決例
取引先から情報セキュリティの強化を求められていますが、どのような対応をすればよいのかわかりません。
ISO/IEC27001の2本柱である(1)マネジメントシステムと(2)管理策が取組みの基本となります。情報セキュリティに関する共通用語を理解することで、取引先の調査や質問にもスムーズに回答できるようになるでしょう。
具体的には、マネジメントシステムで、方針、目的・目標、教育、文書記録管理、内部監査、マネジメントレビューなどの全社的な仕組みを整備、運用します。その中で、保有情報や関連機器等のリスク評価に基づき必要な管理策を導入し、インシデント発生の可能性を低減します。PDCAサイクルにより、情報セキュリティパフォーマンスが効果をあげているかを点検・評価し、次の改善につなげていきます。
完璧な情報漏えい防止を行おうと思うと仕事が回らなくなりそうで心配です。
まずリスクを見える化し、客観的に対策を検討していくことが重要です。ただし、業務の効率を考慮して現状で可能な範囲の対策を導入し、足りない点は残留リスクとして明確化しておくことで定期的なレビューを通じて継続的改善を図ることも重要です。最初から完璧を目指さず、業務継続とバランスをとりながら段階的に改善していくという考え方が、企業経営にもなじむ運営方法です。
重要な情報(個人情報、顧客情報など)を扱っている部門だけで認証を取得したいと考えています。
重要な情報を扱っている部門での認証は可能です。ただし、管理策を運営するために必要な人事総務部などの社内支援部門、情報を部分的に取り扱う業務関連部門は、情報セキュリティマネジメントシステム(ISMS)の運営体制に取り込んでおくことが必要です。社内のこれらの部門の協力を得られてこそ、効果的な情報セキュリティの確保が期待できます。