ISO27001 は、情報資産を保護し、利害関係者の信頼を得るセキュリティ体制の確保を目的とするものです。
ISMS ISO27001
情報セキュリティマネジメントシステム - 概要
ISO/IEC27001 (JIS Q 27001)は、情報資産を保護し、利害関係者の信頼を得るセキュリティ体制の確保を目的とするフレームワークです。
組織経営上の情報セキュリティに関連する問題は、ビジネスのボーダーレス化、情報・通信技術の利用促進などの要因により、情報事故による被害・損害は格段に大きくなり、もはや事故が発生した時に事後的対応をとるばかりでは、企業の継続性、収益の維持、競争優位性の確保に重大な影響を及ぼす事態となります。
情報セキュリティ管理のための国際規格、ISO/IEC27001の要求事項を満たす情報セキュリティマネジメントシステム(ISMS:Information Security Management System)を構築するためには、情報セキュリティとそのリスク管理対応はもちろんのこと、さらには組織における情報の利用性を高め、「情報資産」としてその価値を高めることも目指しています。
ISMSは「マネジメントシステム」として、組織や企業において効果的かつ効率的に実施・運用・改善されていくことが大切です。
情報セキュリティマネジメントシステムを導入する際の手引き書といえるISO27002によれば、情報セキュリティとは、「情報を様々な脅威から保護し、事業継続性を確実にし、事業の損害を最小限に抑え、投資に対するリターンと事業機会を最大化することである」とされています。
ISMS (ISO27001)とは
ISMS (ISO27001) 規格は情報セキュリティを確実にする具体的な管理策、すなわ手立てについて網羅しています。また、適切なリスク分析に基づいた品質マネジメントシステム(ISO9001) や環境マネジメントシステム(ISO14001) などのマネジメントシステム規格でも見られるようなマネジメントプランを立案し、必要な資源配分及び運用を監視し客観的に見直すというマネジメントリサイクルにより、情報セキュリティを維持することを目指しています。
ISMSの実施基準(ISMS実践のための規範)であるISO17799:2000 は2005 年6 月に国際規格ISO17799:2005 として改訂された後、さらにISO27002としてISO27000 シリーズに統合されました。 その他、ISMSの実装に関するガイダンス規格ISO27003、導入されたISMS及び管理策の有効性を管理するためのガイダンス規格としてISO27004、情報セキュリティのリスクマネジメントに関するガイダンス規格としてISO27005 が発行されています。 ISO27001の付属書Aには、管理目的とそれに関係する133 の詳細管理策がリストアップされています。
ISMS(ISO27001)の構成は、次の11 セクションからなります
1 . 情報セキュリティ(ISMS)基本方針
2 . 情報セキュリティ(ISMS)の組織化
3 . 資産の管理
4 . 人的資源のセキュリティ
5 . 物理的及び環境的セキュリティ
6 . 通信及び運用管理
7 . アクセス制御
8 . システムの取得、開発及び保守
9 . 情報セキュリティ事件・事故管理
10.事業継続管理
11.適合性
→ ISO27001(ISMS)メリットへ
次のステップ
ISO27001認証登録に関する詳細は、 BSIジャパン営業部 (Tel:03-6890-1172)へお問い合わせください。
ISO/IEC27001 ISMS 認証取得のメリット
- ISMSに共通の枠組み
組織が情報セキュリティマネジメント規範を策定し、実施し、有効性を評価する共通の枠組みが提供されます。
- リスクベースのアプローチ
ISMS (情報セキュリティマネジメントシステム)を実施するための、リスクをベースにした構造的アプローチが提供されるため、適切で達成可能な組織のセキュリティ管理体制が構築できます。
- 適切な配置が可能に
情報資産を保護するために適切な人員、プロセス、手順、および技術が最適に配分されます。
- 情報の保護
機密性、完全性、可用性の見地から情報を保護します。
- コーポレートガバナンス、事業継続
組織の内部統制に関して第三者からの保証を示すことでコーポレートガバナンスおよび事業継続のための要件を満たすことができます。
- コンプライアンス
適用法や法規制への準拠性を第三者に保証します。
- 競争優位性
契約要求事項の遵守、顧客に情報セキュリティが万全であることを証明するなど、競争力を高めます。
- 第三者による検証
情報セキュリティのプロセス、手順、文書が定形化され、組織のリスクが適切に識別、評価、管理されているかが第三者に検証されます。
- 継続的改善
定期的な審査プロセスにより継続的な監視と改善を支援します。
- 経営者のコミットメント
組織の情報セキュリティに対する経営者のコミットメントを示すことができます。
→ ISO27001(ISMS)トレーニングへ
次のステップ
ISO27001認証登録に関する詳細は、BSIジャパン営業部(Tel:03-6890-1172)へお問い合わせください。
ISMS ISO27001 情報セキュリティマネジメントシステム
認証取得のステップ
ISO27001情報セキュリティマネジメントシステム認証登録は以下の6つのステップで行われます。
ステップ1: お問い合わせ・見積り
- プロファイルフォーム(詳細お見積もりのためのアンケート用紙)に必要事項をご記入の上弊社へフォームを提出いただきます。
- ご記入いただいたフォームをもとに弊社にて見積りを行い、見積書を提出いたします。
ステップ2: 申請
- 弊社よりお送りする見積書に添付されております申請書に必要事項をご記入の上、お申し込みをいただきます。
ステップ3: 予備調査 (オプション)
- 予備調査とは、初回の認証審査に先立ち、審査に入る準備ができているかどうかを判定するための調査です。
- お客様からのご希望を元に、予備調査が必要かどうか、また予備調査の内容につきまして弊社が判断を行います。 オプションサービスとなりこの調査に係る時間数(工数)は自由にご指定いただけます。
ステップ4: 初回認証審査
- 初回認証審査には第1段階審査と第2段階審査があり、この双方の審査結果で認証登録の可否を判断いたします。
- この双方2段階の審査に関しての最低実施審査工数は、各規格ごとにIAFのガイドラインや認定基準で決められており、その基準で実施いたします。
[第1段階]
規格要求事項に沿って、組織が作成したマネジメントシステム (マニュアル、規程・手順の文書類、記録様式など) に対し現地実地審査が可能かを判断する目的で、マネジメントシステムの準備状況を確認する審査です。
1. 事前確認:プロファイルフォームの記載内容について確認
2. ISMSのフレームワークについて確認:フレームワーク、範囲、リスクアセスメント、リスクマネジメト、適用宣言書等の確認
3. セキュリティポリシー及び手順の確認:セキュリティポリシーとポリシーを支える主要な手順等について確認
[第2段階]
マネジメントシステムの構築状況が規格要求事項に適合し、運用状況が確実に実施されていることを確認する審査であり、また、その運用状況が組織の目的に即しているかに関しても確認対象として審査します。
ステップ5: 認証
- ISO27001への適合性が認められますとBSIより認証書が発行されます。
ステップ6: 継続・更新審査
-
ISO27001の認証書を維持するためには、定期的に継続審査を受けることが必要です。
<年1回または年2回の継続審査>
ISO27001の継続審査については、年1回または年2回を選択できます。
<3年毎に更新審査>
ISO27001の認証の有効期限(3年)が満了する前に認証更新の適切性を確認する更新審査があります。
その他のステップ
→ ISO27001詳細お見積りはこちら
概算見積もり: 詳細な見積もりを依頼される前に、まずはISMS認証取得にかかる費用の概算お見積もりがオンラインから可能です。 お気軽にお問い合わせ下さい。
→ ISO27001に関する概算見積もりはこちらから
ISO27001認証登録に関する詳細は、
BSIジャパン営業部(Tel:03-6890-1172)へお問い合わせください。
