当社は情報セキュリティマネジメントシステムの国際規格(ISO/IEC27001)を取得しております。
セキュリティの認証っていくつかあったり、呼ばれ方も様々なのでよくわからないという声もあります。
今回は、このISO/IEC27001についてご紹介させていただきます。
ISOとは
ISOとは、スイスのジュネーブに本部を置く非政府機関 International Organization for Standardization(国際標準化機構)の略称です。
I ISO規格は、国際的な取引をスムーズにするために、何らかの製品やサービスに関して「世界中で同じ品質、同じレベルのものを提供できるようにしましょう」という国際的な基準であり、ISOが制定した規格をISO規格といいます。
また、ISO規格は製品だけではなく、組織の品質活動や環境活動を管理するための仕組み(マネジメントシステム)についても制定されています。
これらは「マネジメントシステム規格」と呼ばれ、品質マネジメントシステム(ISO 9001)や環境マネジメントシステム(ISO 14001)などがあります。
IEC27001とは
ISO/IEC 27001 (JIS Q 27001)は、組織が自社で保護すべき情報資産を洗い出し、各情報資産に対して機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)をバランスよく維持し、改善していくことを可能にする仕組みを構築することを目的とした規格です。
2002年にISMS認証制度が日本で本格的に始動し、その後2005年にISO27001が発行されました。
認証取得の効果
ISO/IEC 27001の認証を取得することにより、下記のような効果が期待されております。
- 情報リスクの低減
- 社員の情報セキュリティ意識・モラルの向上
- 業務効率の改善や組織体制の強化
- 法令順守(コンプライアンス)の推進
- KPI(キーパフォーマンス指標)の管理
- 継続的な改善による企業価値の向上
- 組織内外からの信頼獲得
- 海外企業を含む取引要件の達成
- 企業競争力の強化
参考:JAPAN QUALITY ASSURANCE ORGANIZATION
ISO27001の認証取得は、第三者による審査を経ていることから、客観的に見た時に信頼の証となります。
また、何がリスクであるか、リスクを受容するのか整理する機会となり、適切な経営判断にも繋がります。
ISO/IEC27001の内部監査のポイント
内部監査では特に以下のポイントが重要になります。
- 実務現場の弱点(セキュリティホール)を見つける事
- ISMSでは、セキュリティ事件・事故の予防が重要
- セキュリティ事件・事故は、 「バケツの水漏れ」のように、備えの弱い部署や協力会社・従業者・プロセスなどから
- 組織変更(人員配置・構成など)、協力会社の変更等、変更による影響確認が重要
- 技術の進歩、環境の変化及び内外の事故事例等を注視し、現行ルールが尚適切かどうか
参考:Japan Management Association
内部監査は膨大な労力が必要とされますが、その分セキュリティにおける企業としての信頼も増します。
様々な形でハッキング等の魔の手が伸びる昨今、後回しにされがちな脆弱な部分を見直すという作業のよき機会となります。
まとめ
今回は、情報セキュリティマネジメントシステムの国際規格(ISO/IEC27001)について簡単にご紹介させていただきました。
当社はISO/IEC27001を取得した上で、企業様のデータをお守りする「ファイル交換安心君」というサービスを展開しております。
リリースして10年以上になりますが、無事故で解約率も一桁です。
これからクラウドでのデータ管理がさらに加速する中で、是非一度ユーザー数無制限の「ファイル交換安心君」をご検討下さいませ。
