組織が抱える情報システムの課題を無償にて簡易調査いたします。お問い合わせは 03-5860-2533 までお願いします。

中小企業に特化した ISMS(ISO27001)認証取得・運用支援

ICT Security

情報セキュリティ体制構築

インターネットの黎明期から組織のIT活用が急速に広がり、今ではITを利用せずに業務を営む企業は無いと思われます。ITは非常に便利で業務の効率化に貢献しますが、その反面でITを悪用して犯罪行為をする人も存在します。ITを活用して業務を遂行する限り、企業は情報セキュリティを考慮し続ける必要があります。

ISO27001(ISMS)は、企業の保有する情報資産に対する機密性・完全性・可用性の3要素を適切に管理することで、「組織における情報資産を安全かつ適切に管理する仕組みが構築されている」ことを認証するものです。企業の情報セキュリティ方針、ルールや活動について認定された第三者が評価し、国際標準に適合しているという証明になります。組織の業態や経営戦略に合わせ、情報セキュリティポリシーを策定し、PDCA(Plan・Do・Check・Act)サイクルで管理することで必要となるセキュリティレベルを維持します。リスク管理の仕組みを構築すると同時に、セキュリティ・リスクの低減や従業員のセキュリティ意識の向上などにも効果があります。

POINT企業によって機密性・完全性・可用性の重要度も変わってきます。例えば、コンサルティング会社であればお客様の情報を預かり活用することでサービスを提供するため機密性区分は非常に重要になりますし、データセンターを運用する会社であればシステムの停止が発生しないように可用性が非常に重要になります。ISMSでは、企業によって何を守るのかを明確にし、適切に管理をすることで情報セキュリティを確保する仕組みができています。

中小企業におけるISMS認証の取得

中小企業は人手が足りない中で、ISMSの認証を取得し維持するとなると更なる業務負荷が発生します。どの程度の負荷が発生するのか。ISMSはPDCAを回し、定期的に外部機関による審査があります。このPDCAを回すために事務局のような機関を作り、その機関でISMSの運用を担います。PDCAの中でリスクアセスメント、セキュリティ教育、内部監査、マネジメントレビューなど必ずやるべきことがありますので、それを事務局が中心となって各部署と一緒に実施していく必要があります。それなりの業務負担は発生しますが、これらの作業は日々刻々と新たなセキュリティ脅威が発生する現在では企業として当然実施すべき事項です。その当然実施すべき事項を、「仕組み」として提供しているのがISMSということになります。そして、ISMSを取得したことにより追加で発生するのは、外部機関による審査のみということになります。

ISMS認証取得の目的

ISMS取得の目的は、企業によって様々です。どのような目的であれ、ISMSを取得することは良いと考えております。なぜならば、ISMSを導入して、情報セキュリティを気にしながら業務を遂行すると、それが企業の風土として根付くからです。中小企業にとって情報セキュリティに対する意識を従業員に根付かせるのは大変な作業になります。ISMSを導入して、PDCAを回して運用することにより、その基盤が作られ、やがて企業の風土として構築されると考えております。
以下は、一般的なISMS認証取得の目的となります。

  • 情報セキュリティレベルの向上
  • ISMSでは組織の情報セキュリティ体制を構築し、維持する仕組みが備わっております。定期的な外部組織による審査もあり、企業の情報セキュリティレベルを向上させるには最適な方法かと思われます。

  • 自治体や大手企業との案件受注
  • 自治体や大手企業との取引において、ISMSの取得が要件となっているケースがあります。ISMSは組織の情報セキュリティ体制が構築されていることを外部機関が認証するため、取引先にとっても安心して業務を任せられます。

  • IPOの準備
POINT情報セキュリティの認証を取得する際に、ISMSとPマークのどちらを取得するか検討することもあると思います。Pマークは、組織の個人情報の管理に絞った国内規格です。個人情報にフォーカスしているため、対象範囲が狭く・深いのが特徴です。一方、ISMSは組織の保有する情報資産(個人情報を含む)が全て対象となり、範囲が広くなります。組織は業務のほぼ全域にわたり情報資産(有形・無形問わず)を活用するため、対象範囲にある業務全てが対象となると考えられます。

お客様の実態・ご要望にあわせた「カスタマイズ型」支援

  • リスク管理の仕組みに基づく情報資産の適切な保護
  • 情報セキュリティの維持・向上、コンプライアンスの強化
  • 取引先・消費者からの信頼感の醸成、同業他社との差別化
  • セキュリティ事故の未然防止、CSR(社会的説明責任)
  • 情報保護に関する法令・規制等への対応

認証取得のステップ

ISMSの認証取得までのステップは以下の通りとなります。Step01からStep03まで3ヶ月程度、Step04からStep11まで4ヶ月程度、Step12からStep13まで2ヶ月程度の期間が必要となり、認証取得まで9ヶ月程度の期間が必要となります。

情報セキュリティセキュリティチェック
Step01.|現状調査・経営陣インタビュー
Step02.|ISMS構築計画策定
Step03.|情報セキュリティ基本方針・ISMSフレームワークの策定
Step04.|運用計画・情報セキュリティ目標の策定
Step05.|棚卸作業(資産・法的要求事項・利用サービスなど)
Step06.|リスクアセスメント(リスク識別、分析・評価)
Step07.|リスク対応、情報セキュリティ対策(管理策)の決定
Step08.|情報セキュリティ対策(管理策)の導入・実装
Step09.|内部監査
Step10.|是正処置
Step11.|経営陣への運用報告・対策協議
Step12.|審査(審査機関による認証審査)
Step13.|認証取得