ISO27001 は、情報資産を保護し、利害関係者の信頼を得るセキュリティ体制の確保を目的とするものです。
情報セキュリティマネジメントシステム (ISMS) - 概要
ISO/IEC27001 規格は、情報資産を保護し、利害関係者の信頼を得るセキュリティ体制の確保を目的とするものです。
組織経営上の情報セキュリティに関する問題は、ビジネスのボーダーレス化、情報・通信技術の利用促進などの要因により、その事故による被害・損害は格段に大きくなり、もはや事故が発生した時に事後的対応をとるばかりでは、企業の継続性、収益の維持、競争優位性の確保に重大な影響を及ぼす事態となります。
ISO/IEC27001で求められる要求事項を満たす情報セキュリティマネジメントシステム(ISMS)を確立するためには、そのようなセキュリティへのリスクへの対応はもちろんですが、さらには組織における情報の利用性を高め、「情報資産」としてその価値を高めることも目指しています。ISMSは「マネジメントシステム」として、組織や企業において効果的かつ効率的に実施・運用されることが大切です。
情報セキュリティマネジメントの規格を導入する際の手引き書といえるISO27002によれば、情報セキュリティとは、「情報を様々な脅威から保護し、事業継続性を確実に、事業の損害を最小限に抑え、投資に対するリターンと事業機会を最大化することである」とされています。
ISO27001
ISO27001規格は情報セキュリティを確実にする具体的な管理策すなわち手立てについて網羅しています。また、適切なリスク分析に基づいた品質マネジメントシステム(ISO9001) や環境マネジメントシステム(ISO14001) などのマネジメントシステム規格でも見られるようなマネジメントプランを立案し、必要な資源配分及び運用を監視し客観的に見直すというマネジメントリサイクルにより、情報セキュリティを維持することを目指しています。
実施基準であるISO17799:2000 は2005 年6 月に国際規格ISO17799:2005 として改訂され、ISO27002としてISO27000 シリーズに統合されました。 その他、導入ガイドISO27003、管理策の測定としてISO27004、リスクマネジメントとしてISO27005 が導入される予定です。付属書には、情報セキュリティに影響のある39 の管理項目とそれに関係する133 の詳細管理策がリストアップされています。
構成は、次の11 セクションです。
1 . 情報セキュリティ(ISMS)基本方針
2 . 情報セキュリティ(ISMS)の組織化
3 . 資産の管理
4 . 人的資源のセキュリティ
5 . 物理的及び環境的セキュリティ
6 . 通信及び運用管理
7 . アクセス制御
8 . システムの取得、開発及び保守
9 . 情報セキュリティ事件・事故管理
10.事業継続管理
11.適合性
→ ISO27001(ISMS)メリットへ
次のステップ
ISO27001認証登録に関する詳細は、 BSIジャパン営業部 (Tel:03-5501-7122)へお問い合わせください。
ISO/IEC27001 (ISMS) 認証取得のメリット
- 共通の枠組み
組織が情報セキュリティマネジメント規範を策定し、実施し、有効性を評価する共通の枠組みが提供されます。
- リスクベースのアプローチ
情報セキュリティマネジメントシステム(ISMS)を実施するための、リスクをベースにした構造的アプローチが提供されるため、適切で達成可能な組織のセキュリティ管理体制が構築できます。
- 適切な配置
情報資産を保護するために適切な人員、プロセス、手順、およびテクノロジーが最適配分されます。
- 情報の保護
機密性、完全性、可用性の見地から情報を保護します。
- コーポレートガバナンス、事業継続
組織の内部統制に関して第三者からの保証を示すことでコーポレートガバナンスおよび事業継続のための要件を満たすことができます。
- コンプライアンス
適用法や法規制への準拠性を第三者に保証します。
- 競争優位性
契約要求事項の遵守、顧客に情報セキュリティが万全であることを証明するなど、競争力を高めます。
- 第三者による検証
情報セキュリティのプロセス、手順、文書が定形化され、組織のリスクが適切に識別、評価、管理されているかが第三者に検証されます。
- 継続的改善
定期的な審査プロセスにより継続的な監視と改善を支援します。
- 経営者のコミットメント
組織の情報セキュリティに対する経営者のコミットメントを示すことができます。
→ ISO27001(ISMS)トレーニングへ
次のステップ
ISO27001認証登録に関する詳細は、BSIジャパン営業部(Tel:03-5501-7122)へお問い合わせください。
ISO27001情報セキュリティマネジメントシステム
認証取得のステップ
ISO27001情報セキュリティマネジメントシステム認証登録は以下の6つのステップで行われます。
- ステップ 1: お問い合わせ・見積り
- プロファイルフォーム(詳細お見積もりのためのアンケート用紙)に必要事項をご記入の上弊社へフォームを提出いただきます。
- ご記入いただいたフォームをもとに弊社にて見積りを行い、見積書を提出いたします。
- ステップ 2: 申請
- 弊社よりお送りする見積書に添付されております申請書に必要事項をご記入の上、お申し込みをいただきます。
- ステップ 3: 予備調査 (オプション)
- 予備調査とは、初回の認証審査に先立ち、審査に入る準備ができているかどうかを判定するための調査です。
- お客様からのご希望を元に、予備調査が必要かどうか、また予備調査の内容につきまして弊社が判断を行います。 オプションサービスとなりこの調査に係る時間数(工数)は自由にご指定いただけます。
- ステップ 4: 初回認証審査
- 初回認証審査は以下の2段階で、それぞれのフェーズに分かれて実施されます。
(第一段階)
- 事前確認:見積用に記入いただいたプロファイルフォームの記載内容について確認
- ISMSのフレームワークについて確認: フレームワーク、範囲、リスクアセスメント、リスクマネジメト、適用宣言書等の確認
- セキュリティポリシー及び手順の確認: セキュリティポリシーとポリシーを支える主要な手順等について確認
(第二段階)
ISMSの実施状況に関する確認: 第1段階審査の結果によっては、第2段階の審査工数変更を提案申しあげる場合もございます。
- ステップ5:認証
- ISO27001への適合性が認められますとBSIより認証書が発行されます。
- ステップ6:継続・更新審査
ISO27001の認証書の維持には、定期的に継続審査を受けていただくことが必要です。
- 年1回または年2回の継続審査
ISO27001の継続審査については、年1回または年2回を選択できます。
- 3年毎の更新審査
ISO27001の認証の有効期間(3年)が満了する前に認証更新の適切性
を確認する更新審査があります。
→ ISO27001詳細お見積りはこちら
ご質問・お見積もり
概算見積もり: 詳細な見積もりを依頼される前に、まずはISO27001認証取得にかかる費用の概算お見積もりがオンラインから可能です。 お気軽にお問い合わせ下さい。
→ ISO27001に関する概算見積もりはこちらから
ISO27001認証登録に関する詳細は、
BSIジャパン営業部(Tel:03-5501-7122)へお問い合わせください。
