ISO/IEC27001(情報セキュリティ)コンサルタントインターナショナル株式会社
ISO/IEC 27001は、英国規格であるBS 7799が基になって発展した情報セキュリティマネジメントシステム (ISMS)の国際規格です。
情報セキュリティリスクを管理し、継続的にリスクの回避や軽減が出来るようにするため、企業が保護すべき情報資産について、Confidentiality(機密性)、Integrity(完全性)、Availability(可用性)をバランスよく維持しながら改善していくことが必要です。CIIではハード面での強化だけにとらわれることなく、作業のフローや人の管理なども含めたシステムを構築し、設備投資やランニングコストを低く抑えることができるコンサルティングを目指します。
ISMS(Information Security Management System=情報セキュリティマネジメントシステム)とは
■マネジメントシステム全体の中で、事業リスクに対するアプローチに基づいて情報セキュリティの確立、導入、運 用、監視、見直し、維持、改善を担う部分
■ISMSとは、情報セキュリティリスクを管理し、継続的にリスクの回避や軽減ができるマネジメントシステムを構築すること
■ISMSでは、企業が保護すべき情報資産について、機密性(Confidentiality)、完全性(Integrity)、可用性 (Availability)をバランスよく維持し改善していくことが重要なポイント
・機密性:アクセスを許可された(authorized)者だけが情報にアクセスできることを確実にす ること。
・完全性:情報及び処理方法が、正確であること及び完全であることを保護すること。
・可用性:許可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを 確実にすること。
ISMSのマネジメントシステムとしての特徴
■ISO/IEC27001はマネジメントシステム規格ですから、基本的なフローはISO9001やISO14001とよく似ています。
つまり、方針(セキュリティポリシー)を決め、計画(リスクアセスメントを行って管理すべきリスクを決め、管理目的と管理策を選択)を立て、実行し、是正・レビューを行うという大きな流れは、既存のISOマネジメントと同様です。
■ISO/IEC27001の重要な部分である「リスクアセスメント」は、ISO14001やOHSAS18001及び金融商品取引法実施基準とほぼ同一の概念です。
リスクアセスメントの前提は、情報資産の洗い出しです。企業内の情報資産を重要度順にランク付けをして、それを守るためにリスクの優先順位の高い順に、133の管理策の中から選択して対応します。
■ISO/IEC27001は、定常時ではなく、非定常時・緊急時に真価が発揮されるシステムです。それゆえに、管理策の9割は予防処置です。
■以下の項目のようなリスクアセスメントとリスクに見合った管理策の選択がきちんと実施されているかどうかが審査でのチェックポイントです。
・情報資産価値評価の妥当性
・リスクアセスメントの結果の妥当性
・リスクマネジメントの対象範囲の決定の妥当性
・管理策選択の妥当性
◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆
CIIでは、お客様の状況に応じた各種のコンサルティングプランをご用意しております。
