ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)
JIS Q 27001(ISO/IEC 27001)は、組織が自社で保護すべき情報資産を洗い出し、
各情報資産に対して 機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)
をバランスよく維持し、 改善していくことを可能にする仕組みを構築することを目的とした規格です。
- ISO/IEC27001とは
- ISO/IEC27001取得メリット
- ISO/IEC27001内部監査
ISO/IEC27001とは
JIS Q 27001(ISO/IEC 27001)は、組織が自社で保護すべき情報資産を洗い出し、各情報資産に対して機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)をバランスよく維持し、改善していくことを可能にする仕組みを構築することを目的とした規格です。
2002年にISMS認証制度が日本で本格的に始動し、その後の2005年にISO27001が発行されました。その後、個人情報保護法の完全施行され、情報セキュリティ対策が重要な経営課題として取り上げられるようになりました。これを契機にISMS認証制度の普及に拍車がかかっていきました。
ISO/IEC27001取得メリット
ISO/IEC27001の認証取得は、第三者による審査を経ていることから、客観的な信頼の証となります。透明性・信頼性の確保が求められる昨今、信頼性の確保は重要な経営課題といえます。また、ISMSでは、リスクアセスメントの結果に基づき必要な対策を講じます。貴社にとって、何がリスクであるか、リスクを受容するのか整理することで、適切な経営資源を投下することが可能となります。 一方で、マネジメントシステムの観点から、法令遵守や社員の教育、パフォーマンスの管理などを「見える化」し、内部監査やマネジメントレビューにより経営側も運用状況を監視することができます。このような情報セキュリティリスクの低減とマネジメントシステム運用に基づく継続的改善がISMSの導入のメリットといえます。
- 情報資産の取り扱いに対する対外的な信頼感を確保することができる。
- リスクアセスメントの結果にもとづき、戦略的、重点的な情報セキュリティ対策を施すことで 経営資源の適正配布、コスト削減につながる。
- 情報システムの重大な故障や災害発生時の事業活動の中断に備え、自社の事業継続性を確保する体制を整備できる。
- 自社に関連する情報セキュリティ関連法令を明確化し、教育を実施することで法令遵守の風土が根付く。
- 目的の設定、セキュリティ対策への責任と権限を明確化し、社員一人ひとりの責任感が醸成される。
ISMS(ISO27001)の内部監査
内部監査とは、方針や手順が守られているかを判定するために、あとで検証できる記録や事実を、 自分たちで確認する活動のことです。
マネジメントシステムは経営ツールです。経営ツールとは道具ですから、例えば錆びたり、故障すると本来の機能を発揮できません。 ですから定期的な手入れが必要になってきます。内部監査はこの定期的な手入れの重要な活動です。 そもそも内部監査とはどういう活動かというと、組織自身で改善の種を見つけ、改善提案を行い、ISOマネジメントシステムの 有効性向上や成果の向上につなげていくために実施されるものです。 しっかり機能させればISOマネジメントシステムの継続的改善につながっていきます。
