ISO/IEC27001の概要
ISO/IEC27001の概要を説明しています。
ISO/IEC27001構築支援コンサルティング
新たにISO/IEC27001に基づくISMSの構築を行う場合のコンサルティングのステップを説明しています。
ISMSの構築に要する期間は、通常10ヵ月〜15ヵ月程度です。
ISO27001の概要
ISO/IEC27001に基づく情報セキュリティマネジメントシステム(ISMS)のモデルは、以下の図のように表されます。 ISMSの目的は、組織内、顧客などの利害関係者の期待を満足する情報セキュリティを維持することにあります。
ISMSプロセスに適用されるPDCAモデル
情報セキュリティマネジメントシステム(ISMS)の必要性
事業の様々な場面で場面でIT技術(情報通信技術)は不可欠のものとなりつつあります。 しかしながら、組織の情報システム及びネットワークは様々な情報セキュリティ上の脅威に直面しており、 これらのセキュリティ上の脅威は日に日に増大しています。これらの脅威に対処し、組織の情報資産を保護するためには 情報セキュリティマネジメントシステム(ISMS)の構築が不可欠なものとなっています。
組織に求められる情報セキュリティ管理
どのような組織においても法順守(コンプライアンス)の観点から次の分野における管理は必須と考えられます。
- 個人情報の保護
- 組織の記録の保護
- 知的財産権の保護・順守
また、体系化された管理の度合いは別として、多くの組織において次の分野における 管理が実施又は要求されています。
- 情報セキュリティ基本方針
- 情報セキュリティに関する責任の割り当て
- 情報セキュリティに関する意識向上、教育及び訓練
- 業務用ソフトウェアでの正確な処理
- 技術的脆弱性管理
- 事業継続管理
- 情報セキュリティインシデントの管理と改善
これらのカテゴリーにおいて改善の必要性を感じている組織にとって、ISO/IEC27001 に基づく情報セキュリティマネジメントシステムの採用は、 情報セキュリティレベルの向上、情報セキュリティ投資へのコスト管理など 多くのメリットをもたらすことが期待されます。
ISMSで適用される管理策カテゴリー
ISO/IEC27001に基づく情報セキュリティマネジメントシステムの導入により 次のセキュリティ分野における体系化されたリスク アセスメントに基づく、情報セキュリティ管理策の適用が可能となります。
- セキュリティ基本方針
- 情報セキュリティのための組織
- 資産の管理
- 人的資源のセキュリティ
- 物理的及び環境的セキュリティ
- 通信及び運用の管理
- アクセス制御
- 情報システムの取得、開発及び保守
- 情報セキュリティインシデント管理
- 事業継続管理
- コンプライアンス
ISO/IEC27001(JIS Q 27001)から参照されるISO/IEC17799(JIS Q 27002) には、これらの分野における管理策のベストプラクティス(実践のための規範) が整理されています。
△ 上に戻る
ISO/IEC27001構築支援コンサルティング
経営陣のインタビューを通して、ISMS(情報セキュリティマネジメントシステム)の導入の目的を確認します。 また、現場の確認などにより適用範囲に含まれる情報資産及び関連する脅威・脆弱性を確認し、 構築されるISMSの基本方針を確立します。
ISMS適用範囲に含まれる情報資産に関連して詳細なリスクアセスメントを実施します。 リスクアセスメント手法は、組織のISMS上の特性に合わせて適切な手法をご提案致します。
リスクアセスメントの結果に基づき、適切な管理策の適用を検討し、組織のISMSの仕組みを文書化します。 文書化の段階では、標準的な文書・様式を一式ご提供致します。
構築されたISMSを組織に浸透し、適切かつ効果的な運用を行うために情報セキュリティに関する教育を実施致します。 組織が自ら行う内部監査の実施に備えて、内部監査員の養成等を行います。
実際にISMSが運用されている現場の確認を中心に、ISMS運用状況を確認し、システムの改善点の抽出、 改善策のご提案を行っていきます。
審査登録機関の行う審査に備え、模擬審査等を通してシステムの審査への準備を行います。 また、審査で発見されたシステムの改善点に対する具体的な改善方法のご提案を致します。
審査登録後、システムの維持・改善のための支援を実施致します。
△ 上に戻る