ISO / IEC 27001【ISMS】
ISO/IEC 27001 情報セキュリティ認証・審査・ISMS
システムによる情報セキュリティ
実証可能なデータおよび情報セキュリティ
企業文化の一部としてのセキュリティ
リスク管理プロセスの効果的な実施
セキュリティレベルの継続的な改善
Loading...
ISO27001とは?
情報は私たちを取り巻くあらゆる場所に存在し、あらゆるプロセスの一部となっています。多くの場合、重要で機密性の高いものです。組織にとってこの重要な区別をするためには、情報を分類することが必要です。これは、ISO/IEC 27001に準拠した情報セキュリティマネジメントシステム(ISMS)の保護対策が、この分類に基づいているためです。
ISMSは、業務データとその機密性を保護するためのフレームワークを構築します。同時に、世界的に認められているこの規格は、企業のプロセスに関わるITシステムの可用性を確保します。つまり、ISMSの有効性を独立した外部機関が評価し、確認するということです。
EN ISO/IEC27001:2017-06では、欧州標準化委員会(CEN)が調整したバージョンが発行されました。これは、Cor 1:2014とCor 2:2015の2つの訂正(corrigenda)を組み合わせたものです。訂正に伴う変更点は、関連する要求事項の記述が改善されただけで、新たな追加要求事項はありません。したがって、ISO/IEC 27001:2013バージョンに基づく認証は、その有効性を維持します。
もっと見る
もっと見る
Loading...
ISO27001はどのような会社に適していますか?
例えばドイツでは、重要インフラ部門(KRITIS)に属し、閾値を超える企業は、情報セキュリティをどのように確保しているかの証拠を提出しなければなりません。KRITISセクターには、エネルギー、水、健康、金融・保険、食品、輸送・交通、情報技術、通信が含まれます。これに対応する実施の証拠は、セキュリティ監査、テスト、または認証によって提供することができます。この目的のためには、ISO27001のような公認規格、あるいはドイツ連邦情報セキュリティ局(BSI)が認めた業界固有のセキュリティ規格を審査の基礎として使用することができます。
もっと見る
もっと見る
Loading...
ISO27001はどのような会社にどのようなメリットがありますか?
実務上特に価値があるのは、規格の附属書Aにある対策の実施です。ISO規格では、マネジメントシステムを中心とした要求事項の部分(4章から10章)に加えて、附属書Aの14章に渡って、多種多様な安全面に対する114の具体的な対策を含む35の対策目標(コントロール)が掲載されています。対策は、マネジメントシステムの枠組みの中で実施されなければなりません。これらの対策は、貴社に関連する限りにおいて、マネジメントシステムの一部として実施されなければなりません。
企業のプロセスをISO27001と一貫して整合させることで、多くのメリットが得られることが証明されています。
- セキュリティレベルの継続的な向上
- 既存のリスクの低減
- コンプライアンス要求事項の遵守
- 従業員の意識向上
- 顧客満足度の向上
トップマネジメントが参加する内部監査やマネジメントレビューは、このような状況を実現するための内部的な手段です。
その他のプラス面としては、監督官庁、保険会社、銀行、パートナー企業などの利害関係者が、貴社に対してより高いレベルの信頼を築くことができます。これは、認証されたマネジメントシステムが、組織が構造的な方法でリスクに対処し、継続的な改善(CIP)に取り組んでいることを示すものであり、望ましくない影響に対する抵抗力を高めてくれるからです。
国際規格であるISO/IEC 27001は、ISO9001 (品質管理)やISO14001(環境管理)などの他のマネジメントシステムとは独立して実施、運用、認証することができます。
もっと見る
もっと見る
Loading...
ISO27001に基づく認証を行うことができるのは誰ですか?
また、ISO/IEC27006では、ISO27001に準拠したISMSを認証するために、認証機関が遵守しなければならない厳しい要求事項を定めています。
これには以下が含まれます。
- 指定された審査努力の証拠
- 審査員の資格に関する要件
DQSグループは、ドイツの国家認定機関であるDakkS(Deutsche Akkreditierungsstelle GmbH)の認定を受けており、ISO27001に基づく審査および認証を行う権限を有しています。
DQSの審査員は、企業の業種を問わず、独自の専門性を発揮します。DQSの審査員は、さまざまな業界における情報セキュリティマネジメントシステムの評価に長年の実績があります。
もっと見る
もっと見る
Loading...
ISO27001はどのように行われるのか?
ISO27001のすべての要求事項が実施されると、自社のマネジメントシステムが認証されます。DQSでは、多段階の認証プロセスを経ることになります。すでに認証されたマネジメントシステムが社内に構築されている場合は、プロセスを短縮することができます。
最初のステップでは、お客様の会社とISO27001の目標について当社と話し合います。これに基づき、貴社の個々のニーズに合わせた詳細な提案を行います。
プロジェクト計画会議は、大規模なプロジェクトの場合、例えば、複数の拠点や部門とのスケジュールや審査の実施をよりよく調整するために有効です。また、事前審査では、貴社のマネジメントシステムの強みや改善の可能性を事前に確認する機会となります。いずれのサービスもオプションです。
認証審査は、貴社のISMSのシステム分析と評価(ステージ1審査)から始まります。ここで審査員は、貴社のマネジメントシステムが十分に構築され、認証の準備ができているかどうかを判断します。次のステップ(ステージ2審査)では、審査員がISO27001規格を適用して、サイトのすべての管理プロセスの有効性を評価します。審査結果は、最終会議で発表されます。必要に応じて、アクションプランに合意します。
認証審査の後、DQSの独立した認証委員会により審査結果が評価されます。すべての規格要求事項が満たされていれば、ISO27001の登録証が発行されます。
認証取得後は、継続的な改善を図るため、少なくとも年1回、ISMSの主要な構成要素が現地で再審査されます。
ISO27001登録証の有効期限は最大3年間です。再認証は、有効期限が切れる前に余裕を持って実施し、適用される規格要求事項への継続的な準拠を確認します。適合した場合、新しい登録証が発行されます。
Loading...
ISO27001の認証にかかる費用は?
4つの評価基準
ISO27001に基づく認証の費用は、特に以下の4つの基準に従って設定されています。
1.1.情報セキュリティマネジメントシステムの複雑さ
企業の重要な価値(特許、個人情報、施設、プロセスなど)が考慮されていること。認証費用は、主に情報セキュリティ要求事項と、情報の機密性、完全性、可用性(VIV)にどの程度影響するかに基づいています。
2.ISMSの範囲内での貴社の中核事業について
この時点で、特にビジネスプロセスに関連するリスクは、必要な審査作業を決定する上で重要な役割を果たします。法的要求事項は、複雑で個別の顧客要求事項と同様に考慮されます。
3.3. ISMSに使用されている主な技術とコンポーネント
審査では、ISMSの技術と個々のコンポーネントが調査されます。これには、ITプラットフォーム、サーバー、データベース、アプリケーション、およびネットワークセグメントが含まれます。ここでの基本的なルールは次のとおりです。標準的なシステムの割合が高いほど、またITの複雑さが低いほど、労力は少なくて済みます。ISO27001認証の費用は、この点にも依存します。
4 ISMS に占める自社開発の割合
社内での開発がなく、主に標準化されたソフトウェアプラットフォームを使用している場合、アセスメントの労力は低くなります。ISMSの特徴として、自社開発のソフトウェアを多用しており、そのソフトウェアが中心的な事業分野で使用されている場合、認証のための労力は高くなります。
ISMS認証取得にかかる費用の概要をお知らせするためには、事前にお客様のビジネスモデルと適用分野に関する正確な情報が必要です。そうすることで、お客様に合わせた提案をすることができます。
もっと見る
もっと見る
Loading...
