ISOマネジメントシステム ISO9001 ISO14001 ISO22000「業務の効率化」「品質管理」「労働安全衛生」「環境問題へ企業対応」などのマネジメント化で経営強化をご提案します。

マネジメントシステムコンサルティング「テン・アシスト(TEN・ASSIST)」

ISOマネジメントシステムで企業の経営強化をご提案いたします。
ISOマネジメントシステムのご依頼・ご相談
ISO27001
(情報セキュリティマネジメントシステム)

情報セキュリティマネジメントとは

企業・組織における情報セキュリティの確保に組織的・体系的に取り組むことを情報セキュリティマネジメントといいます。現代社会でITの技術は企業活動に大きな存在となっており、パソコンがなければ一つも仕事ができないという状況になりつつあります。それだけ人々の生活に浸透しているIT技術なだけにリスクも大きいものがあります。
IT技術を活用できなくなるリスク、格納している情報にアクセスができなくなるリスク、情報を搾取されるリスク・・・挙げればきりがありません。

組織の活動においても、情報インフラを守ることが重要な課題であるだけに、このISO27001をベースとした情報セキュリティマネジメントは大事なものとといえましょう。

情報関連のリスク

情報セキュリティにおけるリスク・脅威には次のようなものがあります

環境的脅威 地震、洪水、台風、落雷、ほこり、静電気、記憶媒体の劣化、
意図的脅威 火事、停電、空調故障、盗難、記憶媒体の不正使用、オペレーターの操作ミス、ソフトウェアの故障(不具合)、不正ユーザーによるソフトウェア使用、不正な方法でのソフトウェア使用、スタッフ不足、悪意のあるソフトウェア、不正ユーザーによるネットワークへのアクセス、回線の損傷、盗聴、通信への進入、情報漏えい、改ざん、紛失、機器の故障、業務停止、コンピュータウイルス、悪意のあるソフトウェア、不正なユーザーによるソフト使用
偶発的な脅威 火事、停電、空調故障、オペレーターの操作ミス、ソフトウェアの故障(不具合)、不正な方法でのソフトウェア使用、回線の損傷、誤作動、情報漏えい、復旧不能、機器の故障、業務停止、置き忘れ

詳細管理策とは

ISO27001に付属書Aには詳細管理策が掲載されています。これらの管理策の多くは、マネジメントシステムの構築に加えるべき項目とリスク対応策として活用できる項目が盛り込まれています。

項番 タイトル  
A.5 情報セキュリティのための方針群 マネジメントシステムの方針設定について
A.6 情報セキュリティのための組織 マネジメントシステム運用組織の運営について
A.7 人的資源のセキュリティ 雇用、教育訓練、退職、罰則について
A.8 資産の管理 情報資産の分類とラベル付け、媒体の管理
A.9 アクセス制御 情報や情報媒体へのアクセスの制限や管理についての方策
A.10 暗号 暗号の利用について
A.11 物理的及び環境的セキュリティ 施設や設備への物理的アクセスや損傷への予防策
A.12 運用のセキュリティ 運用手順(機器の操作手順、ウイルス制御、媒体の利用、バックアップ)の策定
A.13 通信のセキュリティ 情報の伝送・受信の際の情報漏えいなどリスクに備えるために考慮するべき管理策
A.14 システムの取得、開発及び保守 アプリケーションの取得や開発の際の考慮事項
A.15 供給者関係 サービスの提供先との連携と管理について
A.16 情報セキュリティインシデント管理 情報事故や弱点検出時のインシデントへの対応策
A.17 事業継続マネジメントにおける情報セキュリティの側面 事業継続のためのマネジメントの実施策
A.18 順守 法令や契約事項、その他要求事項への順守について

ISO27001構築のエッセンス

ISO27001を構築するうえで、特に重要で、かつ負担がかかる作業は、“情報セキュリティリスクの評価とそれに見合う対策の決定”でしょう。
ここでは、その作業についてエッセンスをご紹介します。

情報分類について

まずは詳細管理策のA.8に基づいた情報資産を分類します。この作業は、情報セキュリティを考える場合、自社にはどのような情報があり、それぞれどのくらい大事なものかを把握して、どれくらいのレベルの防御策を打てばよいかを検討するためにも重要な作業です。個々の情報を棚卸して、各々の情報を資産の種類に分類してその所有者、保管場所を明確にします。

それらの情報のレベル付け(情報資産の価値の算定)を行います。どれくらい重要で、どの程度の公開を許すのかを決定します。

情報セキュリティリスクの特定と評価

情報セキュリティリスクとは、望ましくないインシデントを引き起こす可能性を言います。
その要因には、人為的な悪意のある意図的な脅威、悪意のない偶発的な脅威と自然脅威などがあります。
人為的な悪意のある意図的脅威とは、コンピュータウイルス、なりすまし、書き換え、盗難などで、偶発的な脅威とは、システムエラー、不注意による紛失などが考えられます。
自然的脅威には、もちろん台風、地震、水害、風害、落雷などです。
リスク評価とは、それらが当社の現在の対策の程度からどれくらいの被害をもたらすかを図ることとなります。その評価をする軸としては一般的に次の項目となります。

  • それらが起こりうる可能性の程度
  • 発生した場合の結果の重大性
各々の資産とリスクの掛け合わせによる評価

最初に決定した情報資産のグループ各々について、それがどのような脅威にさらされているかを特定して、リスクのレベルを決定します。

リスクの大きさに応じた対策の決定

そのリスクの大きさに見合う対策を考えます。
対応策は、現在の状況からさらに追加するべき管理策を検討して、リスクの低減を目指します。その場合、ISO27001の詳細管理策(付属書A)をすべて検討して必要な管理策が見落とされていないかを検証します。

(詳細管理策は、組織の特性上どうしても適用できないものを除き、すべて適用するように考える必要があります)

適用宣言書の作成

適用した管理策と適用しなかった管理策を識別するために適用リストを「適用宣言書」として作成します。

ISOマネジメントシステム導入のご依頼・ご相談はこちらから。
092-983-3469
ブログ一覧
ISOマネジメントシステム導入のご依頼・ご相談はこちらから。
ISOのマネジメントシステムを導入したが効果が表れない、とお困りの経営者の方も多いですが、ISOの導入の成功には、やはりいくつかの注意するべき点があります。
ISOマネジメントTOPICS
テンアシスト:お知らせ
お知らせ一覧