    |
ISO27001 ISO27001認証取得ISO27001支援 ISMS 情報セキュリティマネジメントシステム ISMSマニュアル ISMS文書28
関西ISOシニアコンサルタントネットワーク
ISO14001・ISO9001・ISO22000・ISO27001・Pマーク認証・安全衛生支援・社内セミナ
(ISMS)ISO27001認証取得支援-1
| この頁を印刷する |
| 頁の責任者:西村明吉 | 問合せ⇒ |
|
|
|
ISO27001 ISO27001認証取得ISO27001支援 ISMS 情報セキュリティマネジメントシステム ISMSマニュアル ISMS文書28 |
|||||||||
| MEICO 認証の支援のサイトマップ ISOコンサルタントTOP 無断転載禁 | ||||||||||
関西ISOシニアコンサルタントネットワーク |
パンフレット | |||||||||
ISO14001・ISO9001・ISO22000・ISO27001・Pマーク認証・安全衛生支援・社内セミナ |
||||||||||
(ISMS)ISO27001認証取得支援-1 |
||||||||||
| (情報関係の経験豊富なベテランコンサルタント) | ||||||||||
|
|
|||||||||
|
||||||||||||||||||
| ▲ISO27001とは | |||||
| 1.ISO27001とは | |||||
| 情報セキュリティマネジメントシステム(ISMS)の国際規格 | |||||
| 2.発行 | |||||
| 2005年10月 | |||||
| 3.内容 | |||||
| 情報セキュリティマネジメントシステムの構築・運用・監視・維持・管理・改善に関する要求事項 | |||||
▲ISO27001認証
取得の効果 |
|||||
| 1.機密情報の保護など情報セキュリティが万全になる | |||||
| 2.情報セキュリティマネジメントを確立し運用し第三者認証によって顧客からの信頼を受ける | |||||
| 3.法律順守が確実になる | |||||
▲ISO27001認証
支援費用 |
|||||
■ISO27001 |
フルサポート (会社様によって個別見積り) |
Aコース6カ月 | 16回 | 訪問指導時間:3〜4時間/毎回 | 120万円 |
| Bコース8カ月 | 16回 | 160万円 | |||
| Cコース10カ月 | 16回 | 200万円 | |||
| Dコース12カ月 | 20回 | 240万円 | |||
| ~Fコース18カ月 | 28回 | 〜360万円 | |||
「
ISO27001情報セキュリティマネジメントシステム」の認証取得を目指して |
|||||
| ・ | 1.何故、今、ISO27001情報セキュリティマネジメントシステムの認証取得でしょうか。 |
・ | |
| 2005年4月、「個人情報保護法」が全面施行されて、個人情報保護の関心が高まり、情報漏えい事件が報じられ、社会的問題として注目を浴びるようになりました。 | |||
| その結果、政府、民間企業の情報セキュリティ対策が真剣に検討されはじめ、もはや「情報セキュリティ対策」は経営になくてはならないものになりました。 | |||
| そのため、政府は積極的に情報セキュリティ対策・対策評価の指針を打ち出しました。 | |||
| 政府のみならず民間企業においても、情報セキュリティ対策は取引条件になりつつあります。過去に、建設業界において取引条件としてISO9001品質マネジメントシステムが注目を浴びました。ISO27001情報セキュリティマネジメントシステムは、ISO9001以上に影響は大きなものです。一旦発生した情報の漏えいは取り返しができないばかりか、企業損失のみならず、社会的信用の失墜にもつながります。 | |||
| そのために、多くの分野の事業所でISO27001認証取得への取り組みを始めています。 | |||
| 従来、暫定規格として英国規格BS7799と国内認証基準が存在していましたが、2005年10月に「ISO27001」として統一した規格が制定されました。 | |||
| 国内においては、2006年5月、JISQ27001(ISO27001)規格、JISQ27002(管理策)が制定され、国内においての本格的なISO27001認証取得が始まりました。 | |||
| IT企業、印刷会社、設計事務所、委託加工会社など他社の情報をベースに事業活動を行っている事業所では、情報セキュリティ対策は必須であり、そのために取引会社から情報セキュリティ対策が要請されるケースが増えています。その結果、ISO27001認証取得への取組みが多くの企業で始まっているのです。 | |||
| 2.ISO27001(ISMS)認証取得の効果 | |||
| 企業(組織)内 | 企業(組織)外 | ||
| ・本質的な情報セキュリティの向上 ・説明責任の明確化 ・安全な情報の共有化 ・職場の情報整備による業務の効率化 |
・企業(組織)価値の向上 ・運用基準の明確化によるサービス品質の向上 ・信頼性のアピール ・同業他社に対する湯異性の確保 |
||
| ・ | |||
| ・ | ||
| ・ | 5.3 基本方針の策定 | ・ |
| 基本方針の例 | ||
| 情報セキュリティ基本方針(社長表明の例) | ||
| 私たちは進化を続ける情報化社会にあって、より優れた製品・サービスを提供するため、 日々研鑽に努め、スキルアップを図らねばなりません。 |
||
| 同時に当社がお客様の信頼を得て、最適の情報システムを提供するためには、大切な お客様の情報や技術情報、個人情報などの情報資産を紛失、盗難、不正使用から適切 に保護しつつ、その有効活用を図ることが求められます。 |
||
| 情報資産を保護するためには、技術的、物理的セキュリティ対策を強化することは勿論 ですが、全社員がセキュリティに対する強い意思をもって行動することが最も大切です。 |
||
| 当社は情報資産に要求される機密性・完全性・可用性を維持するため情報セキュリティ マネジメントシステムを構築し運用します。 |
||
| 当社は、情報セキュリティについて以下の事項を約束します。 | ||
| 1.当社は情報セキュリティ管理体制を確立し、社内規定を定めて全社員に教育・ | ||
| 啓蒙を行い、その遵守徹底をはかります。 | ||
| 2.当社は情報資産を事故、過失、犯罪、災害などの全ての脅威から適切に保護 | ||
| します。 | ||
| 3.当社は個人情報の保護に関する法律をはじめとした法令を遵守します。 | ||
| 4.当社は情報セキュリティに関する事象が発生した場合には、迅速に原因究明と | ||
| 対策を実施し、その影響を最小限とするよう努めます。 | ||
| 5.当社はISO27001の認証を取得し、それを維持します。 | ||
| 以上 | ||
| 2008年○月○日 | ||
| 株式会社○○○○○○ | ||
| 代表取締役 ○○○○ | ||
| 付帯事項 | ||
| @適用範囲の例 | ||
| ・ISMSの適用範囲を全社とする。 | ||
| ・ISMSの適用範囲として、ソリューション事業部に限定する。 | ||
| (備考:プライバシーマークの適用範囲の全社であるが、ISMSは限定できる) | ||
| A下記の事項を明記 | ||
| ・情報セキュリティの定義、適用範囲、管理者の任命と義務 | ||
| ・リスクの特性と情報セキュリティ目標、従業員の義務、個人情報保護 | ||
| ・機密情報保護、著作権保護、機密保持契約、教育など | ||
| ・ |
| ・ | ||||
| ・ | 5.4 ISMSの確立 | ・ | ||
| ISMSの確立のステップの例 | ||||
| ステップ | 作業内容 | アウトプット(文書) | ||
| 1 | ISMSの適用範囲の定義 | ・適用範囲(事業所、部門)を決定 (情報セキュリティ基本方針に明記) |
||
| 2 | ISMSの基本方針の策定 | ・情報セキュリティ基本方針の策定 ・関連法規の調査 |
||
| 3 | リスクアセスメントの体系的な取組み方法の策定 | ・ISMSマニュアルに明記 | ||
| 4 | リスクの識別 | @情報資産調査シートの作成 ・情報資産の棚卸 ・重要度(機密性・完全性・可用性)の評価 ・損害程度の評価 A情報資産管理台帳の作成 ・損害程度の高い情報資産を台帳登録 |
||
| 5 | リスクアセスメントの実施 | Bリスクアセスメント結果報告書の作成 ・リスクスコアの算出 (リスクスコア=損害程度×脅威×脆弱性) |
||
| 6 | リスク対応の実施 | Cリスク対応計画書の作成 ・リスクスコアの高い情報資産に管理策を採用し、でリスクを低減する。低減に限度があれば残留リスクとして管理する |
||
| 7 | 管理目的と管理策の選択 | ・管理策の採用及び管理策実施の手順書名を明記 | ||
| 8 | 適用宣言書の作成 | D適用宣言書の作成 ・管理策の採否、理由及び関連する手順書等の明記 ・採用した管理策については、手順書で管理策の詳細を記述 |
||
| 9 | 残留リスク及び当該ISMSの導入・運用についての経営層の承認 | Eリスクアセスメント結果報告書の承認 Fリスク対応計画書の承認 G適用宣言書の承認 |
||
| 5.5 文書化 | ||||
| ・5.2 規格の準備を参照 | ||||
| ・ISMSマニュアルは、JISQ27001の要求事項及びJISQ27002の管理策(要求事項)の一部について具体的な手順を記述する。 | ||||
| ・手順書は、適用宣言書で採用した管理策の具体的な手順を記述する。1つの手順書の中に複数の管理策の具体的な手順を記述する。 | ||||
| ・記録様式は、ISMSマニュアル及び手順書に必要な記録様式を作成する。 | ||||
| 5.6 全員教育の実施 | ||||
| ・教育計画は、全員教育、内部監査員教育及び情報処理専門家教育の実施計画を作成 | ||||
| ・全員教育では、基本方針、ISMSマニュアル、手順書、記録様式の理解をさせる。 | ||||
| 5.7 運用開始 | ||||
| ・経営者はISMSの関連文書等を承認して、全員教育後に運用開始宣言を行う。 | ||||
| ・運用宣言後には、必要な記録をとる。 | ||||
| 5.8 事業継続計画 | ||||
| ・ISMSでは、震災等の災害があった場合の事業継続に関する対応を要求事項として求めている。そのために事業継続を阻害するリスク(自然災害、火災、情報漏えい等)に対するリスクアセスメントを実施する。 | ||||
| ・リスクの高い災害等に対する事業継続計画を作成し、計画の試験を行う(妥当性確認) | ||||
| 5.9 内部監査員の養成 | ||||
| ・他のマネジメントシステムと同様、内部監査員養成セミナを実施する。 | ||||
| 5.10 内部監査の実施 | ||||
| ・内部監査計画を作成し、内部監査チーム編成する。 | ||||
| ・内部監査用チェックリスト作成し、内部監査を行う。 | ||||
| ・内部監査で不適合があれば、内部監査員は是正処置要求書を発行する。 | ||||
| ・内部監査のリーダーは、内部監査報告書を発行する。 | ||||
| 5.11 マネジメントレビューの実施 | ||||
| ・経営者は、内部監査結果等の資料を参考にマネジメントレビューを行う。 | ||||
| 5.12 第一段階審査(文書審査) | ||||
| 5.13 第二段階審査(現地審査) | ||||
| 5.14 認証登録 | ||||
| 6.Q&A | ||||
| Q:ISO27001認証取得にどれだけの期間が必要ですか。 | ||||
| A:キックオフから認証登録証発行まで、10ヶ月を標準としています。 | ||||
| Q:ISO27001認証取得は、プライバシーマーク取得より難しいと思っていますが、どうでしょうか。 | ||||
| A:ISO27001は、他のISO9001、ISO14001と同様のマネジメントシステムですので、けして難しいものではありません。プライバシーマーク(個人情報保護マネジメントシステム)取得と比べて、特に難しいこともありません。ISO27001の場合、審査登録機関が決まれば、最終の第2段階審査の時期が決まりますが、プライバシーマークの場合は、審査待ちなどがあり、登録証発行の時期がはっきりしません。 | ||||
| Q:ISO27001認証取得をすれば、プライバシーマーク取得をしているのと同じレベルの管理状態にあることを、世間(取引先)は評価するのでしょうか。 | ||||
| A:プライバシーマーク取得は、個人情報保護法を遵守していることを世間に公表するものです。ISO27001においては、個人情報保護法に基づく管理体制を社内で作り、「個人情報管理規定」などに文書化し、それをISO27001の運用で遵守すれば、プライバシーマーク取得と同じレベルの管理をしていると評価されます。 | ||||
| 個人情報は、ISO27001における情報資産です。その情報資産についてどのようなリスクがあるか、リスクアセスメントを実施し、適切なリスク対応(対策)を行うことは、プライバシーマーク取得のステップと同じです。 | ||||
| Q:具体的な例はありませんか。 | ||||
| A:例えば、印刷業界では個人情報を取り扱うということで、プライバシーマーク取得の事業所が急増しました。しかし、印刷業界では個人情報ばかりでなく、企業機密情報も扱っています。ISO27001:2005が制定され、印刷業界では、ISO27001の認証取得の事業所も多くなり、一方、プライバシーマークからISO27001への移行の動きも見られます。プライバシーマーク取得するのであれば、ISO27001を認証取得するという考え方がでてきたのです。 | ||||
| Q:ISO27001認証取得をする場合、認証取得する会社として、一番の苦労はどのようなものですか。 | ||||
| A:ISO27001情報セキュリティマネジメントシステムは、ISO14001環境マネジメントシステムと同じものと考えられます。 | ||||
| ISO14001が環境側面の棚卸しを行うと同様、ISO27001では情報資産の棚卸しを行います。従って、ISO27001においては、会社にどのような情報資産があるのかを棚卸します。どのようなものを棚卸すべきかについては、コンサルタントが指導します。 | ||||
| この情報資産の棚卸しが、一番の苦労です。 | ||||
| Q:ISO27001は、特に附属書Aの133の管理策があり、採用した管理策について、具体的に手順書として記述することは大変な作業でしょうか。 | ||||
| A:いいえ。コンサルタントが訪問した時に、会社の業務、現状の情報セキュリティ対策についての調査を行いますので、心配はいりません。また、コンサルタントは、ISMSマニュアル、手順書、記録様式の見本を提示し、協議して会社の実情にあったもの、また運営が容易になるようにこれらの文書を作り上げていきますので、文書作成については、事務局の人の負担はありません。 | ||||
| Q:それでは、認証取得する場合、会社としての一番の苦労は、情報資産の棚卸をして、「情報資産調査シート」を作成することですか。 | ||||
| A:そうです。 | ||||
| ・ | ||||
| ・ | ||||||||||||||||
| ・ | Q:情報資産の棚卸は、具体的にどのように行ったらいいですか。 | ・ | ||||||||||||||
| A:あらかじめ、どのようなものを棚卸するかを決め、「情報資産調査シート」の様式を定めておきます。その例は、下記のようなものです。 | ||||||||||||||||
| 【情報資産調査シートの例】 | ||||||||||||||||
| 資産 | 部門コード | 情報資産分類名 | 情報 | 媒体 | 保管場所 | 管理責任者 | 重要度 | 損害程度 | ||||||||
| A氏 | B氏 | C氏 | 機密性 | 完全性 | 可用性 | 機密性 | 完全性 | 可用性 | ||||||||
| A | ||||||||||||||||