インダストリー4.0は、第4次産業革命と呼ばれ、開発、生産、物流、顧客のインテリジェントなネットワーク化を意味する。インダストリー4.0は、開発、生産、物流、顧客の知的なネットワーク化を意味し、組織にとって重要な価値を持つ多くの情報とデータを意味します。これらの情報の可用性、完全性、機密性を保護することは、重要な課題です。情報セキュリティは、既存のリスクを認識し、それを特定し、それらを保護するために適切かつ適切な措置を講じることを支援するすべての措置を包含しています。
情報処理のセキュリティが十分でないために、ドイツ経済だけでも毎年数十億ユーロの被害が出ている。その原因は複雑で、外部からの妨害、技術的なミス、産業スパイ、元従業員による情報の悪用など、多岐にわたります。しかし、課題を認識した者だけが、適切な対策を講じることもできるのです。国際的に認められているISO27001規格に準拠した、しっかりとした情報セキュリティマネジメントシステムは、全体的なセキュリティ戦略を効果的に実施するための最適な基礎となります。具体的には、どのようなことを意味し、何を考慮する必要があるのでしょうか。ISO 27001に関する重要な質問に対する答えはこちらでご覧ください。
コンテンツ
- 情報セキュリティとは?
- 情報セキュリティの保護目標とは?
- 情報セキュリティマネジメントシステムとは?
- ISO27001はどのような組織に有効か?
- 情報セキュリティマネジメントシステムの利点は何ですか。
- 人の役割とは何ですか。
- ISO 27001 - 導入に関する質問
- なぜISO27001の認証を取得するのか?
- DQS - 私たちができること
情報セキュリティとは何ですか?
この問いに対する答えは、情報セキュリティの国際規格であるISO2700xの観点からすると、非常にシンプルです。
"情報とは、組織にとって価値のあるデータである。"
ISO/IEC 27000:2020-06:情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-概要及び語彙
情報は、権限のない者の手に渡ってはならない資産であり、適切な保護が必要であることはおわかりいただけたと思います。
したがって、情報セキュリティは、企業の情報資産を保護することに関係するすべてのものである。ここで重要なのは、自社に存在するリスクを認識し、あるいは顕在化させ、ニーズに応じた適切な対策を講じることである。
"情報セキュリティはITセキュリティではない"
ITセキュリティとは、あくまでも導入された技術のセキュリティであり、守るべき企業資産のセキュリティではない。情報セキュリティには、組織的な問題、例えばアクセス権限や責任、承認手続き、また心理的な側面も重要な役割を果たします。しかし、セキュアなITは、企業内の情報も保護する。
情報セキュリティの保護目標とは?
国際規格ISO/IEC 27001によると、情報セキュリティの保護目標は、主に3つの側面から構成されています。
- 機密性- 不正アクセスから機密情報を保護すること。データ保護法上の理由であれ、 企業秘密法などでカバーされる企業秘密に基づいている場合であれ、である。ここで重要なのは、機密保持のレベルです。
- 完全性- あらゆるリスクを最小限に抑え、すべてのデータおよび情報の完全性と信頼性を確保すること。
- 可用性- 情報、建物、システムに対して、許可されたアクセスおよび使用可能性を確保すること。これはプロセスの維持に不可欠である。
ISO27001に基づく情報セキュリティの認証
国際規格に適合したマネジメントシステムで情報を守る ✓ DQSは35年以上の認証経験を提供する
情報セキュリティに関する主な質問
- 我が社の価値観は何ですか?
- 守るべき会社の価値観は?
- 会社の資産はどのような攻撃にさらされているのか?
- この情報を保護することに関心を持つのは誰なのか?
- 適切な対策は何か?
情報セキュリティマネジメントシステムとは何か?
ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)は、組織において保護すべき情報のセキュリティを確保するための指針、規則、方法を定義するものです。ISO9001でおなじみのPDCAサイクル(Plan-Do-Check-Act)の体系的な手順に従い、保護レベルの導入、実施、監視、改善のためのモデルを提供するものである。
潜在的なリスクを特定・分析し、適切な対策によってコントロールできるようにすることが目的です。
なぜ情報セキュリティマネジメントが重要なのか?
成功している組織は、最新のマネジメントシステムの構造と透明性を利用して、脅威を検知し、最新のセキュリティシステムの展開に照準を合わせています。情報セキュリティマネジメントシステムの中核は、知的財産、財務、人事データなどの自社の情報資産と、顧客や第三者から預かった情報のセキュリティである。
"情報セキュリティとは、常に重要な情報や価値のあるデータを守ることである"
保護する価値のあるデータがさらされるリスクは多岐にわたります。それらは、物質的、人的、技術的なセキュリティ上の脅威から発生する可能性があります。しかし、ISMSの全体的かつ予防的な管理システムアプローチのみが、あらゆる脅威に対処し、企業の事業継続を確保することができるのです。
ISO 27001は、どのような組織に有効なのでしょうか。
その答えは非常にシンプルです。ISO 27001は、基本的に、種類、規模、業界に関係なく、すべての組織に適用できます。そして、すべての組織が、構造化された管理システムの利点から利益を得ることができます。ISMSの実装は、以下の要因に影響されます。
- 要件とビジネス目標
- セキュリティの必要性
- 適用されるビジネスプロセス
- 組織の規模や構造
情報セキュリティマネジメントシステムを導入するメリットは何ですか?
重要な質問です。ISO 27001は、情報セキュリティのためのプロセス指向の管理システムを体系的に設計し、実施するための要求事項を策定しています。この全体論的なアプローチによって、決定的な利点が達成されます。
- 機密情報のセキュリティは、企業のプロセスの不可欠な一部となる。
- 情報の保護目標の機密性、可用性、完全性の予防的な保護
- セキュリティレベルの継続的な改善による事業継続性の維持
- 社員の感性を高め、社内のあらゆる階層でセキュリティ意識を大幅に向上させる
- 効果的なリスクマネジメントプロセスの確立
- 機密情報の安全な取り扱いを実証し、利害関係者との信頼関係を構築(入札など
- 関連するコンプライアンス要件の遵守、行動の安全性の向上、法的確実性の向上
潜在的なリスクはどのように管理すればよいのでしょうか?
セキュリティリスクは、物質的、人的、技術的な脅威から発生する可能性があります。組織において追跡可能で適切なレベルのセキュリティを実現するためには、リスク評価、リスク処理、リスク監視のためのリスク管理プロセスまたは方法を定義することが必要である。ISO/IEC 27005は、情報セキュリティのリスクマネジメントに関する優れたガイダンスを提供しています。
人はどのような役割を果たすのか?
機密情報の取り扱いは、企業のすべての従業員やパートナーに例外なく影響するため、人もまたリスク要因のひとつです。無知やヒューマンエラーによって、セキュリティリスクが高まるのです。しかし、誰がどの情報にアクセスし、どのように扱うかを規定している組織はごくわずかである。
"新しい権力の源泉は、もはや少数の手にあるお金ではなく、多数の手にある情報である。"ジョン・ネイスビット、*1929年、米国。未来学者
したがって、拘束力のある規制と、あらゆる情報セキュリティの懸念に対する顕著な認識が大前提となる。ここでは、企業ポリシーの適用や適切な情報セキュリティポリシーの策定が不可欠であると考えられる。すべての(経営)レベルの従業員に必要な意識付けは、上司の問題であり、例えば、トレーニングコース、ワークショップ、個人的な話し合いなどを通じて行うことができる。
ISO 27001 - 導入に関する質問
例えばISO9001に準拠したマネジメントシステムを既に導入している必要があるかという質問に対しては、明確に「ノー」と答えることができる。ISO 27001は一般的な規格であり、他のマネジメントシステム規格と同様に、それ自体で成立しています。つまり、組織はいつでも、既存の構造とは無関係に、情報セキュリティマネジメントシステムを構築し、実施することができるのです。
しかし、ISO 9001に準拠した品質マネジメントシステムを導入している企業は、包括的な情報セキュリティを段階的に導入するための十分な基盤をすでに構築しています。
ISO 27001は、その構造とアプローチにおいて、すべてのプロセス指向のマネジメントシステム規格に必須の基本構造である「ハイレベル構造」をベースにしています。その結果、情報セキュリティマネジメントシステムを既存のマネジメントシステムに容易に統合できる可能性を提供します。同様に、ISO 27001とISO 20000-1(ITサービスマネジメント)またはISO 22301(事業継続マネジメント)に準拠したDQSの共同認証も可能です。
どのような文書が導入のサポートになりますか?
情報セキュリティの全体的な管理システムを導入するための基盤として望ましいのは、国際規格であるISO/IEC 2700x ファミリーです。これは、あらゆる種類と規模の組織がISMSを導入し、運用することを支援することを目的としています。組織内の実施度は、内部監査によって確認することができます。
この規格シリーズの有用な構成要素は以下の通りです。
- ISO/IEC 27000:2018に準拠しています。情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-概要と語彙
- ISO/iec 27001:2013を参照してください。情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項
- ISO/iec 27002:2013。情報技術 - セキュリティ技術 - 情報セキュリティ制御のための実施規範
- ISO/iec 27003:2017に準拠しています。情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - ガイダンス
- ISO/iec 27004-2016。情報技術 - セキュリティ技術 - 情報セキュリティ管理 - 監視,測定,分析及び評価
- ISO/iec 27005:2018に準拠しています。情報技術-セキュリティ技術-情報セキュリティリスク管理
すべての規程はISOのホームページから入手可能です。
ISO 27001 - (英語 ITセキュリティオフィサーに関する質問
ISO27001では、ITセキュリティオフィサーは必要ですか?答えは「はい」です。
情報セキュリティマネジメントシステム内の1つのタスクは、トップマネジメントによるITセキュリティ責任者の任命です。ITセキュリティ・オフィサーは、すべてのITセキュリティ問題の連絡先となります。ITセキュリティ責任者は、すべてのISMSプロセスに組み込まれ、IT管理者と密接に連携している必要があります(たとえば、新しいITコンポーネントやITアプリケーションを選択する場合など)。
なぜISO 27001の認証が必要なのか?
認定された手順に基づく認証は、情報資産を体系的に保護するための管理システムと対策が実施されたことを証明するものです。この認証は、情報資産を体系的に保護するためのマネジメントシステムと対策が実施されていることを、「白地に黒」で証明するものです。
世界中で評価されているDQS認証は、中立的な評価を目に見える形で表現したものであり、貴社に対する信頼性を高めるものです。これは市場における優位性であり、入札や金融サービス事業者などのセキュリティが重要な顧客ビジネスにおいて、良い前提条件となります。
ISO 27001 - 認証プロセスに関する質問
DQSのような認定認証機関が国際ルール(ISO 17021)に基づいて審査するマネジメントシステムは、すべて同じ認証プロセスを経ることになります。
初回認証は、システム分析(第1段階審査)とシステム審査(第2段階審査)からなり、審査員はシステム全体が適切に機能しているか、すべての要求事項が実施されているかを現場で検証します。認証は3年間有効です。
全期間を通じて有効であることを保証するために、マネジメントシステムは毎年検証されなければなりません。そのため、認証書発行後の1年目と2年目には、DQS審査員による短期間のISMS審査(サーベイランス審査)を実施し、システムの主要コンポーネントや是正・予防措置の有効性などを検証します。そして、3年後に再認証が行われます。
既存のマネジメントシステムを持つ企業は、それぞれの審査プログラムを組み合わせ、統合マネジメントシステム(IMS)の共同認証を受けることをお勧めします。
マトリックス認証は可能ですか?
複数の拠点を持つ企業では、マトリクス認証が可能です。原則として、ISO 27001には、ISO 9001や ISO 14001などの他のISO規格と同じ要求事項が適用されます。DQSは、ISO 27001を既存のマトリクス手順、すなわち他の規格との共同外部審査に確実に統合することができます。
TISAXと比較して、ISO 27001の利点は何ですか。
TISAX®(TrustedInformation Security Assessment Exchange)は、自動車業界専用の業界標準として開発され、業界固有のニーズに合わせて調整されました。TISAX®評価の基礎となるのはVDA情報セキュリティ評価(VDA ISA)テストカタログで、ISO 27001またはISO 27002の要求事項に基づき、プロトタイプ保護やデータ保護などのトピックに拡張したものです。
TISAX®の製品ページでは、より多くの貴重な知識を得ることができます。
TISAX®の目的は、サプライチェーンのすべての段階において包括的な(情報の)セキュリティを確保することです。また、データベースに登録することで、相互認証の手続きを簡略化することができます。ただし、TISAX®は自動車産業でのみ認知されています。他の業界のお客様は、ISMSの証明としてISO27001しか認識しない可能性があります。
DQS 私たちができること
DQSは、マネジメントシステムおよびプロセスの審査と認証のスペシャリストです。35年以上の経験と、全世界で2,500人の審査員のノウハウを持つ当社は、ISO27001に関するあらゆる疑問にお答えする、お客様の有能な認証パートナーです。
私たちは、約200の一般に認められた規格や規則、また企業や団体特有の規格に基づき、審査を行います。2000年12月には、ISO/IEC 27001の前身であるBS 7799-2の認定を、ドイツの認証機関として初めて取得しました。この専門知識は、現在でも私たちの世界的なサクセスストーリーの表現となっています。
お客様のご質問にお答えします
ISO27001に基づくISMSの認証を取得するためには、どれくらいの作業が必要ですか?無料で情報を得ることができます。
ご相談をお待ちしています。