ISO27001とは、別名【Information Security Management Systems】といい、その名前が示すように、情情報セキュリティマネジメントシステムについてのISO規格です。
英頭文字を取り、略称としてよく【ISMS】と呼ばれています。では、この情報セキュリティ管理とは何でしょうか。
たとえば、従業員等の組織内部の個人に関する情報、企業であれば顧客情報、契約情報、商品販売に関する情報、システム開発企業でいえばその開発データ等です。
これらは会社にとってかけがえのない資産ですが、この情報のセキュリティと管理を怠るとどのようなことが起きると考えられるでしょうか。
これは、企業の事業運営がうまくいかなかったり、顧客の信頼が失われたり、情報漏えいとしてニュースになったりするなど、大きな問題になる可能性があります。
ISO27001(ISMS)では、このような組織にまつわる情報というもののセキュリティ・管理方法・マネジメント方法について定められています。
ISO27001(ISMS)のポイント
ISO27001(ISMS)には、情報セキュリティを管理する上で、次の3つの重要なポイントが記載されています。
1.機密性(confidentiality)許可された人だけが情報にアクセスできる状態。
2.完全性(integrity)情報が、破壊、改ざん、または削除されていない状態。
3.可用性(availability)情報を必要とする人が必要なときに情報にアクセスできる状態。
組織がこれら(1)(2)(3)の重要な状態を維持し、かつ、リスクを適切に管理しているという信頼を組織外の取引先等に与えることがの掲げる目的の一つです。
この目的のために、ISO27001(ISMS)は、組織の情報セキュリティ管理が、資産、人、物理的、技術的、運用などのさまざまな側面から管理および運用されることを要求しています。
ISO27001(ISMS)認証取得のメリット
認証を受けた組織には、以下5つのメリットがあります。
1.外部から組織の信頼感や安心感をアピールできます。
ISO27001(ISMS)もその目的を果たしているため、国際規格であるISO27001(ISMS)認証を使用して、自信とセキュリティをアピールできます。
近年、日本では情報漏えいなどのセキュリティ事故が多く発生しています。
したがって、ISO27001(ISMS)はますます重要になっています。
政府機関の入札プロジェクトでは、入札者の要件となりつつあるISO27001(ISMS)認証の取得例が見られ始めています。
企業であれば、同じ業界の他の会社との差別化を図り、競争力を高めることができます。
2.情報セキュリティのリスクを軽減できます。
これにより、セキュリティ事故の発生を防ぐことができます。
ISO27001(ISMS)は、外部からの攻撃にさらされるだけでなく、内部からの漏洩や紛失もあり、総合的な情報セキュリティ対策を実現しています。
3.業務・手順を整理し、ルールを確立して、効率を向上させることができます。
ISO27001(ISMS)では、認証審査中に組織のビジネスコンテンツと手順に関するヒアリングを実施します。
組織内で通常無意識のうちに実行されるすべてのタスクと手順、その一つ一つに対してスポットを当て確認をしていきます。
その過程で気付きと整理が行われ、今まで慣習だけで曖昧になっていたものを明確にルール化したり、逆に実施するうえで障害となっていたようなルールの廃止を行ったりと、スリムアップとブラッシュアップが見込めます。
結果、組織全体の業務効率が向上します。
4.組織内メンバーの意識改革・知識向上につながります。
ISO27001(ISMS)認定の取得は、組織の経営陣やスタッフの活動に限定されません。
一つのポイントは、スタッフとメンバーのトレーニングと認識のコンセンサスであり、組織全体がそれに取り組んでいきます。
そうすることで、誰もが情報セキュリティの認識と知識を変えることが期待され、組織全体が同じ方向性を共有することができます。
また、従うべき法律や規制にも触れており、コンプライアンスの認識と知識の向上につながります。
5.継続的な改善が出来、会社の価値が高まります。
ISO規格はISO27001(ISMS)だけではありませんが、取得した認証の有効期限は3年です。
ただし、監査機関は毎年組織を訪問し、行政活動の状況を確認・確認しています。
この繰り返しのなかで、次に次にという継続的な改善が行われ、組織が活性化していきます。
ISO27001(ISMS)の取得と運用の流れ
ここでISO27001(ISMS)の取得と運用の6つの流れをご紹介します。
1.ISO27001(ISMS)認証の範囲を決定する
ISO27001(ISMS)認証の範囲は、組織全体だけでなく、組織の各部門にも関連しています。適用の範囲を全体にするのか、保護する情報資産を備えた部門であるかどうか、およびその方法を決定します。
2.セキュリティ対策の方針を作成
ISO27001(ISMS)認証を取得するためのセキュリティ対策の方針を作成します。このフェーズでは、情報セキュリティの3つの主要な要素である機密性、整合性、および可用性に基づいてセキュリティ対策を要約したドキュメントを作成します。
3.リスク評価と実装手順を決定する
お客様の会社の情報資産のリスクを評価し、ISO27001(ISMS)に準拠したセキュリティシステムを実装するための手順を要約します。保護対象の情報資産を収集し、漏洩や盗難の状況に応じてリスク分析を行います。リスク分析の結果から、対策と手順をまとめたプロセスマニュアルを作成します。
4.セキュリティ対策と社内研修の導入
ISO27001(ISMS)認証の取得に向けて取り組んでいきます。当初設定した範囲内で、セキュリティ対策方針とセキュリティ対策手順に基づき、従業員の育成とセキュリティ対策を実施します。
5.マネジメントレビュー
会社にセキュリティ対策を導入し、従業員研修を開始した後、内部監査人は、これらがISO27001(ISMS)として効果的に実施されているかどうかを確認します。必要なセキュリティ対策が施されているか、改善策はあるか、などをマネジメントレビューとして実施します。
6.審査
社内での内部監査とマネジメントレビューが終わったら、第三者機関に審査を依頼します。監査には、書面による監査と、社内での実施状況を確認するためのオンサイト監査の2種類があります。ISO27001(ISMS)の条件が満たされていれば、認証を取得できます。
まとめ
いかがでしたでしょうか?今回は情報セキュリティマネジメントシステム「ISO27001(ISMS)」についてを紹介させていただきました。
弊社では様々なRPA導入サービスを展開しております。
お客様に合わせてカスタマイズも可能ですので、ぜひお問い合わせください。