ISO27001/ISMS

ISO27001ISMSフェーズ

(1)フェーズ
・業務内容確認
・適用範囲定義
・体制整備  業務内容、組織体制、情報資産、ステークホルダー等からISO27001の適用範囲を決定します。
さらに、経営者により、情報セキュリティ責任者、監査責任者、情報セキュリティ事務局等を決定します。

(2)フェーズ
・業務フロー
・情報資産洗い出し
・リスク分析/対応計画作成 適用範囲定義に基づく業務範囲内で、業務フローを作成します。
一つ一つのイベントの過程で発生する情報資産を洗い出します。
洗い出された情報資産の機密性、完全性、可用性、事故発生時の影響度や発生頻度、ぜい弱性などにより、リスク値を算出します。
さらに、そのリスク値を低減させるための管理策を策定します。

ISO27001ISMS構築ポイント

ISO27001構築のポイントは次の通りです。

 

◆運営体制の明確化

  情報セキュリティ責任者や監査責任者などの役割・責任・権限を明確にします。特に、現場の意見を取り入れる運営体制をとることが必要です。

 現場の協力なくして成功はあり得ません。

 

◆リスク分析と高いリスク値へのリスクの低減

  情報資産に対する脅威、脆弱性、影響度などを考慮してリスク分析を行い、その中でリスク値の高い情報資産から管理策を策定し、リスク低減などを行うことです。

 その過程で本当に必要な設備・ソフトウェアの購入などを検討すべきです。

 

◆全員教育

  適用範囲内の全従業員からの協力を得るためにも、適切な時期に、教育を行う必要があります。また、教育も、全員が参加できるように何回かに分けたり、テキストを充実したりすることが大切です。

 

◆内部監査

  ISO27001の要求事項通り現場で実施されているかを確認する上でも、計画的に内部監査を行う必要があります。特に、有効性評価は今後ますます重要になるでしょう。

 

◆少しずつ良いシステムを

  いきなり100点満点の情報セキュリティマネジメントシステムを構築しようとしないで、毎年毎年PDCAを繰り返す中で、自社に最も適するするより良いシステムを構築することです。

 

 

 

ISO27001ISMS認証メリット

ISO27001認証のメリットには、次のものがあります。

 

◆社会的信用度の増大

  国際標準であるISO27001は国際的にも認められ、社会的信用度は増大します。

 

◆顧客や取引先からの信頼の確保

  第三者機関がISO27001を認証するため、顧客や取引先からの信頼を得ることができます。

 

◆他社との差別化

  漏えい事件・事故が多発化する中で、他社との差別化を図れます。

 

◆リスクの低減化

 企業情報の脅威、脆弱性、影響度などからリスクを洗い出すことのより、リスクの低減を図ることができます。

 

◆従業員の意識向上

  日常的な点検、教育等を通じ、従業員の情報セキュリティに対する意識が向上します。

 

◆事故に対する適切な対応

  もし、仮に事件・事故が発生したとしても、最も少なく影響度に抑えることができ、また、二次被害も抑えることができます。

 

◆業務効率の向上

  適切なマネジメントシステムの構築・運営により、業務プロセスを明確にし、業務の効率性が高まります。

 

 

ISO27001/ISMS構築後

IISO27001/ISMS構築後のシステム維持・システム改善も、弊社にお任せ下さい。 改善内容、費用等に関しましては、ご相談に応じます。

 

◆現状改善支援サービス

 

 ISO27001/ISMSを認証所得をしたが、業務が多忙で見直しができない、現業業務との整合性が取れない、維持審査・更新審査に十分対応できない・・・などの改善の支援を行います。

 

◆リスク分析・対策サービス

 

 ISO27001/ISMSのリスクマネジメントに対応したリスク分析・対策の改善を支援します

 

◆内部監査改善サービス

 

 ISO19011に対応した内部監査方法の改善をISMS審査員である弊社コンサルタントが直接支援します。また、維持審査・更新審査を想定した監査も行います。

 

◆情報セキュリティ教育サービス

 ISO27001/ISMSに対応した情報セキュリティ教育を支援します。全社員教育、専門教育、定期教育、臨時教育など目的にあった教育支援を行います。

 

PマークとISO27001の違い

 プライバシーマークは個人情報を扱い全社でその運用を図らなければなりませんが、ISO27001は情報全般を扱い一部署だけの運用も可能です。

 

 一番大きな違いは、前者が本人の視点から情報を保護するのに対し、後者は企業自身の視点で情報を保護するという点です。

 

 ですから、「本人の同意」や「開示等の権利」については、前者は特に強く要求しています。同時取得時は、この違いを考慮して行う必要があります。

 

kosin090627Pma-kuISMS2.gif

▲ TOP