- トップへ>
- ISO27001について
情報セキュリティについて
情報はシステム対策だけで保護できるか
人為ミスによる脅威
システムマネージャーを対象としたある調査では、誤ってデータを削除したことによるデータ損失を2/3が経験。そのうちエンドユーザーのミスが90%を占めている。
情報セキュリティによる問題意識
- 40%の組織は情報セキュリティ事故を調査していない。
- 5%以上の組織は予期されないシステムダウンを経験。
- 53%の組織だけに事業継続計画が存在。
- 組織内からのシステムへの攻撃を重要視している組織は41%。
- 情報セキュリティに関する教育プログラムがある組織は50%。
情報セキュリティに関する脅威の80%が内部の関係者!!
ISO27001…情報セキュリティマネジメントシステム
ISO27001とは、情報セキュリティについて、個別の問題ごとの技術対策の他に、組織のマネジメントとして事業の活動全般及びリスク全般を考慮して、 必要なセキュリティレベルを決め、プランを持ち、資源分配してシステムを運用することです。
- 広範な脅威から情報を保護
- 事業の継続性を確保
- 事業継続上のダメージの最小化
- 収入、投資に対する収益、ビジネスチャンスの最大化
を図ることができます。
1.構築目的の明確性
ISO27001の目的・目標は非常に明確
ISO27001の目的は、企業の大切な資産に対する「脅威」というリスクを幅広く抽出し、適性に評価して安全レベルにまで低減し、それを維持管理することです。
| 情報漏洩事件 | |
|---|---|
| 直接的な損害 | ・損失補填 |
| 間接的な損害 |
・社会的信用の失墜 ・経営責任の追求 ・ビジネスチャンスの損失 |
世界標準を設けることによって国や企業や人々が便利になるモノに対してISOは積極的に国際規格を発行しています。
2.構築手段の具体性
ISO27001は極めて具体性の高い構築手段
ISO27001は、漠然とした書類の仕組みだけではなく、極めて具体性の高い構築手段を伴う、「実態のある管理システム」です。
| 詳細管理策 | |
|---|---|
| 1.情報セキュリティ方針 | 7.アクセス制御 |
| 2.組織のセキュリティ | 8.システムの開発及び保守 |
| 3.資産の分類及び管理 | 9.情報セキュリティ事故管理 |
| 4.人的セキュリティ | 10.事業継続管理 |
| 5.物理的及び環境的セキュリティ | 11.適合性 |
| 6.通信及び運用管理 | |
「情報セキュリティ方針」から「適合性」までの133項目にもおよぶ詳細管理策は、一つ一つが企業にとっての具体的なハードルであり、 それらを確実にクリアする仕組みが要求される。
これらは企業が必要とする、「目に見える」マネジメントの手法であり、貴社とその資産を守るための「セキュリティシステム」といえます。
ISO27001が要求するコンセプト
ISO27001の構築目的
ISO27001の構築の目的は、組織が保護すべき情報資産について、「機密性」、「完全性」、「可用性」を確立し、バランス良く維持し、改善することです。
| 機密性 | アクセス許可された者だけが情報にアクセス出来ることを確実にすること。 |
|---|---|
| 完全性 | 情報および処理方法が完整されていること、及び完全であることを保護すること。 |
| 可用性 | 認可された利用者が、必要な時に情報及び関連する資産にアクセスできることを確実にすること。 |
ISO27001導入の手順
