今や企業・組織の最大のリスクになった情報セキュリティのISO27001の認証取得を目指している経営者、管理者の方にお伝えします。
目次
目次:
-
情報セキュリティとは
-
ISO27001 情報セキュリティマネジメントシステムの認証のメリットとは
-
情報セキュリティマネジメントシステム ISO27001の取得に必要な主要な4つのポイント
-
ISO27001 情報セキュリティマネジメントシステムの効果
1.情報セキュリティとは
企業や組織にとって、守るべき情報資産は絶対存在します。それは、紙や電子のデータから、日頃使っているPCやスマホ、又は建物自体、そしてサーバーを始めとするネットワーク機器も含め多岐に渡ります。
また、ブランド(評判)についても重要な情報資産であり、その価値を守るもしくは向上させることは、企業にとって生命線になります。
その中には、顧客や外部から預かった機密性の高い情報や、その内容も正確でないと使えないものも数多くあります。
それらが流出、紛失、改ざん、破壊 等された場合は、その企業や組織はどのように世間から思われるでしょうか。間違いなく信頼が失墜し、信用がなくなります。
そのような企業、組織とは、取引きもしないでしょうし、事業の継続ができなくなります。
そうならないために、情報セキュリティに対する弱点を予め特定して、発生を防ぐための手順の確立や教育訓練の実施、またセキュリティ対策を施した機器の購入やウィルス対策ソフトの導入等、様々な対策をとることで情報資産を守るための取り組みを継続していくことが必要です。
2.情報セキュリティマネジメントシステム ISO27001の認証取得のメリット
以前から複数の大手企業において個人情報の大量の流出事件も起きています。
取引の条件に情報セキュリティマネジメントシステムのISO27001やプライバシーマークの取得を掲げているところもあります。
顧客や消費者はセキュリティ事故の多発している中、自分たちが預けた情報が取引先でしっかり対策をとって使われているのかについて非常に敏感になってきています。
認証の取得は、第三者のお墨付きであり、顧客や外部からの信頼と信用をつないで、新規の取引先の開拓や既存の顧客との関係を継続するためにも有効なカードの一つになります。
認証の取得に取り組むことで、従業員が情報セキュリティに関する弱点を認識して、対策を進めていくため、セキュリティに対する意識が高くなり、組織のステップアップが十分に出来てきます。
ITに関する技術が爆発的なスピードで進んでいる状況ですが、この情報セキュリティ認証の取り組みを通じて、常に最新のセキュリティ情報を取得することが求められます。
ISO27001を使って、都度降りかかる様々な脅威に先手を打てるようになり、発生のリスクを抑えることができます。
3.情報セキュリティマネジメントシステム ISO27001の取得に必要な4つのポイント
(1) 情報資産に関するリスクアセスメントの実施
業務上使っている情報資産が、「機密性(その情報の秘密の度合いが高いか低いか)」「完全性(最新で正確であること)」「可用性(使用したいときに使用できること)」から資産の価値を測定します。
資産の価値に応じて、その情報資産に想定する脅威を特定して、現時点の弱点を確認しながらリスク評価を行い、必要な対策をまとめ、優先順位を決めていきます。これがリスクアセスメントです。
(2) 附属書A管理目的及び管理策の対応
ISO27001の規格には、「附属書A管理目的及び管理策」というA.5項からA18項に至る100項目以上の要求事項が示され、それらに対応することが求められています。
組織としてのポリシーの策定、体制整備、教育の実施や、ネットワークに関する安全対策等、多岐にわたる取り組みが要求され、実施しなければいけません。
(3) セキュリティに関する規定文書の作成
リスクアセスメントで決めた対策として必要な文書の作成、「附属書A管理目的及び管理策」で求められている文書類の整備が求められます。
このボリュームがかなりあるので、難儀している組織が多いです。要求事項の文面も難解な表現が多く、作成が進まない大きな理由となっています。
気を付けなければならないのは、作成した文書が殆ど外部審査だけで使われ、日常の仕事の中であまり使われないということがないようにしなければいけません。
誰でも使ってもらえる文書の作成をして、従業員全体の情報セキュリティに関する意識の向上につなげていく必要があります。
また、コンサルタントに協力してもらいながら進めていくのも時間の短縮につながります。
(4) インフラ面での投資
やはり規格要求事項とのギャップを調査すると大抵の企業・組織では手順書の整備だけでは足りず、事務所の出入りをチェックする施設面の改修やネットワーク機器の購入、ログツールの導入等の費用が発生しています。
これは、組織ごとに今迄のIT関連の取り組みによって金額の負担が異なってきます。
事務所の出入りが容易で、PCやサーバーへのセキュリティの対策があまりとられていない場合は、それなりの費用負担は想定したほうがいいです。
4.ISO27001 情報セキュリティマネジメントシステムの効果
これまでに掲げた事以外にも、マネジメントシステムとして、情報セキュリティ方針や目的の設定、内部監査の実施、マネジメントレビューという経営者のレビューの実施 等も要求されます。
ただ、これに取り組んでいるからといって、情報セキュリティに対して絶対大丈夫という保証はありません。
従って、組織として情報セキュリティに対してしっかりとマネジメントしていくためのシステムを整備、運用を行い、チェックして改善するPDCAサイクルを回していることを第三者の審査で客観的に証明できます。取引先からの信頼を高めて、事業の拡大につなげるチャンスになります。
今や組織の最大のリスクの一つとなった情報セキュリティに取り組んでいることは、経営の観点と事業の継続の点からも効果は大きいと思います。
また、この取得を機会に組織を見直し、従業員の意識の向上に取り組んでいく事は、組織の持続可能な成長とステップアップに確実に寄与します。