ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)の認証取得審査
組織が所有し管理・運用している情報資産は、インターネット社会の進化に伴い、その漏えいリスクが日々高まっている状況です。そして、このような情報漏えいが企業にもたらすダメージは計り知れません。
こういった情報漏えいリスクから組織を守るためのマネジメントシステムとして、情報セキュリティマネジメントシステム規格ISO/IEC27001(JIS Q 27001)が存在します。
2013年には規格が改正され、共通仕様書(Annex SL)の適用により他のマネジメントシステム規格との統合運用がより容易になりました。さらに、手順整備からパフォーマンス重視へと要求事項の近代化が進むとともに、リスクマネジメントの考え方についてはISO31000を参考にしています 。
また、2022年度版では、情報セキュリティに加え、サイバーセキュリティー及びプライバシー保護の名称もタイトルに加えられ、より広範なセキュリティ上の関心事に対応することを意図しています。今回の改訂では本文の変更は少なく、主に付属書Aの管理策が強化され、近年の厳しいサイバー環境への対応が考慮されています。
PJRJ(日本法人)は 一般社団法人情報マネジメントシステム認定センター(ISMS-AC) よりISO/IEC27001の審査登録機関に認定されています。
ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)の認証・取得のメリット
ISO/IEC27001の導入により、事業プロセスと連携した、全社的または部門横断的な情報セキュリティのマネジメントシステムのPDCAサイクルを回すとともに、技術の進歩や外部・内部のインシデントの動向に応じた管理策の継続的改善を行うことで、情報セキュリティの維持・強化を行うことが可能となります。
具体的には、リスクの客観的な見直しを行い、変化するリスクと見合った管理策の強化による情報セキュリティインシデントの低減または抑制が期待できるのです。機密性のみならず、完全性、可用性のバランスの取れた対策をとることで、安全性と効率性(情報活用)の両立を図ることを目指し、結果的に、社内の仕事の質の向上にもつなげつつ、取引先や一般消費者などの利害関係者からの信頼を得ることができます。
- 情報セキュリティ管理の客観的な見直し
- リスクアセスメントによる情報資産とリスクの可視化
- 情報漏えいリスクの低減
- 機密性、完全性、可用性のバランスのとれた対策
- リスク対応策の陳腐化の防止
- 継続的改善と社会変化に対する対応力の確保
- 取引先や消費者などの利害関係者からの信頼性の向上
ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)の課題解決例
お悩み①
取引先から情報セキュリティの強化を求められていますが、どのような対応をすればよいのかわかりません。
解決
ISO/IEC27001の2本柱である(1)マネジメントシステムと(2)管理策が取組みの基本となります。情報セキュリティに関する共通用語を理解することで、取引先の調査や質問にもスムーズに回答できるようになるでしょう。
具体的には、マネジメントシステムで、方針、目的・目標、教育、文書記録管理、内部監査、マネジメントレビューなどの全社的な仕組みを整備、運用します。その中で、保有情報や関連機器等のリスク評価に基づき必要な管理策を導入し、インシデント発生の可能性を低減します。PDCAサイクルにより、情報セキュリティパフォーマンスが効果をあげているかを点検・評価し、次の改善につなげていきます。
お悩み②
完璧な情報漏えい防止を行おうと思うと仕事が回らなくなりそうで心配です。
解決
まずリスクを見える化し、客観的に対策を検討していくことが重要です。ただし、業務の効率を考慮して現状で可能な範囲の対策を導入し、足りない点は残留リスクとして明確化しておくことで定期的なレビューを通じて継続的改善を図ることも重要です。最初から完璧を目指さず、業務継続とバランスをとりながら段階的に改善していくという考え方が、企業経営にもなじむ運営方法です。
お悩み③
重要な情報(個人情報、顧客情報など)を扱っている部門だけで認証を取得したいと考えています。
解決
重要な情報を扱っている部門での認証は可能です。ただし、管理策を運営するために必要な人事総務部などの社内支援部門、情報を部分的に取り扱う業務関連部門は、情報セキュリティマネジメントシステム(ISMS)の運営体制に取り込んでおくことが必要です。社内のこれらの部門の協力を得られてこそ、効果的な情報セキュリティの確保が期待できます。