アイキャッチ画像

ISO27001認証取得支援

ISO27001は、2005年に発行された情報セキュリティマネジメントシステム(Information Security Management Systems : ISMS)の国際規格です。

従来日本には、財団法人日本情報処理開発協会(JPIDEC)による情報セキュリティマネジメントシステム適合性評価制度(ISMS適合性評価制度)という情報セキュリティマネジメントシステムの認証規格がありましたが、今後はこちらに移行していきます。

急速に普及したパーソナルコンピュータとインターネットは、すでに私たちの仕事や生活に必要不可欠なものと言えます。 しかし、パーソナルコンピュータやインターネットが私たち与えるものはその「便利さ」だけではありません。コンピューターウィルスによる情報漏洩(漏えい)や破壊、不正アクセスによる情報盗難や改竄(改ざん)等の「リスク」が存在し、それらに起因する事故や事件も数多く発生しています。

これらの事件の原因は、ハッカーやクラッカーなどによる外的要因だけではなく、例えばファイル共有ソフト「Winny」に関連した情報漏えい事件に象徴されるような、むしろ社内の情報管理体制の不備や社員の情報セキュリティ意識の低さといった内的要因によるものが大半です。

「企業の財産である情報(情報資産)」について、機密性、完全性、可用性をバランス良く維持し、継続的に改善していく「情報セキュリティマネジメントシステム」の整備が必要です。

可用性(availability)

アクセスを認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。

機密性(confidentiality)

アクセスを認可されたものだけが情報にアクセスできることを確実にすること。

完全性(integrity)

情報および処理方法が、正確であることおよび完全であることを保護すること。

次のステップで情報セキュリティマネジメントシステム(ISMS)を構築します。

  1. 事業・組織・所在地・資産・技術の特徴を踏まえて、ISMSの適用範囲と境界を定義します。
  2. ISMS基本方針を設定します。
  3. リスクアセスメントの方法(取り組み方)を定義します。
  4. 守るべき情報資産に対する脅威・ぜい弱性、機密性・完全性・可用性の喪失が及ぼす影響を明確にし、リスクを特定します。
  5. リスクを分析し評価します。
  6. リスク対応のための選択肢(適切な管理策の適用・リスクの受容・リスクの回避・リスクの移転)を特定します。
  7. リスク対応のための管理目的と管理策を選択します。
  8. 残留リスクについて経営陣が承認します。
  9. ISMSの導入と運用について、経営陣が承認します。
  10. リスク対応に関する決定の概要を記述した「適用宣言書 Statement of Applicability 」を作成します。

当社のISO27001認証取得支援コンサルティングは、企業の情報セキュリティレベルの成熟度や取り扱う情報資産の重要性に配慮し、認証取得後の運用を見据えた適正レベルのマネジメントシステム構築に重点をおいています。

期待効果

  • 情報セキュリティマネジメントシステムの国際規格「ISO27001」に適合した体制が構築できます
  • 企業が取り組むべきリスクが明確になり、的確な情報セキュリティ管理体制が構築できます
  • 社内の人員の情報セキュリティに対する意識を高めることができます
  • 認証取得により、取引先からのセキュリティに対する信頼を得ることができます
  • 短期間で認証取得できる体制を構築できます

実施内容

  • 全社員を対象とした導入基礎教育の実施
  • プロジェクトメンバーに対して、規格解釈講義ならびに文書作成の指導
  • 内部監査への同席指導
  • 業界事例に基づいた文書事例の提供

期 間

8ヶ月 ~ 12ヶ月

当社の特徴

  • 企業規模・業務内容・情報セキュリティレベルに合わせた情報セキュリティマネジメントシステムを構築できます
  • 現在のシステムや文書を最大限に活用し、認証取得後も運用しやすいシステムを構築できます
  • プロジェクトメンバーの都合や作業の進み具合に合わせて、柔軟にスケジュールを調整できます
  • プロジェクトメンバーの都合に合わせ、ミーティングスケジュールを柔軟に計画します

価格

200万円 ~ 500万円
(審査費用ならびに内部監査員研修費用は含まれておりません)

自社診断

  • 自社の情報セキュリティ体制に不安がある
  • 自社の情報セキュリティ体制の信頼性をアピールしたい
  • 情報漏えいなどのトラブルが発生した
  • 親会社や取引先から情報セキュリティについて要求があった
  • 社内の情報セキュリティに対する危険への意識が低い