皆さん、こんにちは。
EXOセキュリティサポートセンターです。
皆さんは情報セキュリティについてどこまでご存じですか?
社内で個人情報・機密データを安全に保護していれば、
ユーザーだけでなくお客様も安心してサービスを利用できると思いますが、
どうしたらこれを証明できるでしょうか?
実は国際情報セキュリティ認証制度として
最も認められているISO 27001を通して証明できます!
ISO 27001の正式名としてはISO/IEC27001と呼ばれていますが、
今回はこのISO 27001がどのような認証なのかご紹介したいと思います。
ISO/IEC 27001は 国際標準化機構 (ISO : International Organization for Standardization)、
国際電気標準会議 (IEC : International Electrotechnical Commission) で定めた
情報セキュリティマネジメントシステム(ISMS)の構築方法や運用方法を定めた国際規格です。
企業や組織における情報セキュリティを、機密性・完全性・可用性という3つの性質が核となっています。
機密性:権限を持つ人以外に漏れることなく情報が保護されること (例:アクセス制御、 パスワード認証)
完全性:不正な改ざんから保持・伝達されている状態 (例:デジタル署名)
可用性:情報システムが必要なタイミングで適切な人物によってアクセスされ、
安全に提供されること (例:システムのクラウド化)
ISO 27001は必須ではありません。・・・が、実は必須となっております。
どういう意味かというと、法律で認証を強要されるわけではありませんが、
近年コロナを基点に企業の事業と業務環境の大部分がインターネット·クラウドに変わる
「デジタル転換(Digital Transformation)時代」になり、情報セキュリティが必須になったためです!
(情報セキュリティの導入なしにオンラインサービスを利用したり提供することは、防弾チョッキも着ずに戦場へ飛び出すのと同じです。)
しかし、セキュリティ認証制度がISO 27001だけではありません。
ISMSもISO 27001と同様で、代表的に認められているセキュリティ認証方法の一つです。
いくつかの違いがありますが、この二つの最も代表的な違いは以下の2つになります。
1. ISO 27001 vs ISMS
ISO 27001は国際セキュリティ認証制度です。
認証一つで自社のセキュリティレベルを全世界に認められる水準を得られる長所があります。
そのため、グローバルビジネスを展開している企業であったり、グローバルに事業を展開しようとする企業の多くが認証を受けています。
ISO 27001は「ISMSを運用し構築するための国際規格」、ISMSは「組織の情報を管理するための仕組み」を指しています。
2. 自発的vs強制的
ISO 27001は、法や規制で認証することを強制することはなく、企業が情報セキュリティのため自発的に認証を取得します。
しかし、ISMSは行政機関からのビジネスを請け負うための入札条件にISMSの取得を強制している場合が多いため、そう言った理由で取得している企業が多いでしょう。
顧客の信頼度向上
:個人情報に対して以前よりも敏感な時代に顧客の情報を安全に守っていることが証明される
経営リスクの回避
:顧客情報、機密情報、技術情報など社内の重要な情報を安全に守る
コンプライアンスリスクの回避
:情報保護法が要求する法的·規制的事項を守ってリスク発生を予防
グローバル信頼度
:グローバル産業において企業の安定性を認められる尺度として使用
セールスの増大
:特に企業は情報セキュリティに敏感なので、
B2Bサービスや製品を提供する会社はクライアントに良い印象を与えることができる
ISO 27001の取得申請方法については、
必要な書類を含め、情報セキュリティシステムを社内で制定・運用、記録し審査の申請が必要です。
以降、ISO 27001審査は国内審査代行業社を通じて進行されます。
これは2段階にわたって行われるため以下の内容を確認する必要があります。
1. 自社の品質経営システムが最低3ヶ月以上完全に運営中であることを示す必要がある。
2. 少なくとも1年以内に内部審査を実施したことを示さなければならない。
認証書は審査代行業社によって発行され、その後維持審査と3年に1回の更新審査プログラムを通じて維持されます。
今回はISO 27001の概要から認証取得までの方法についてご紹介しました。
皆さんの大切な情報資産を守るため、お悩みの方に少しでもお役に立てれば幸いです!
だから肝に銘じてください! 情報は守れば資産ですが、奪われると負債です。
