デジタル化時代において、何よりも保存・保護しなければならないのは、貴重な情報です。つまり、企業にとって、データ保護と並んで情報セキュリティは絶対条件なのです。ISO 9001に準拠した品質マネジメントシステムの認証を取得している企業は、包括的な情報セキュリティを段階的に導入するための十分な基盤をすでに構築しているのです。

Loading...

情報セキュリティの話題は新しいものではありません。組織における広範な情報の状況を脅かす危険性は、以前から知られていました。2019年4月のBSI「サイバーセキュリティ調査」によると、2018年に43%の大企業がサイバーセキュリティインシデントの影響を受けたと報告しています。

中小企業では、26%でした。また、ドイツ連邦情報セキュリティ局(BSI)の「ドイツにおけるITセキュリティの状況報告2021」によると、サイバー犯罪の事例が再び大きく増加しています。2020年6月1日から2021年5月31日までの報告期間において、新しいマルウェアの亜種(約1億4400万個)が22%という好条件で増加しただけでなく、攻撃の質もかなり上昇し続けている。その過程で、多くの加害者が多くの企業や人々のコロナの苦境を悪用したのです。

しかし、企業の機密情報のセキュリティはまだまだ軽視されているのが現状です。情報を加工したり保存したりする際に、注意や配慮が欠けていることが多い。また、データ盗難などの被害に対する意識も、どこでも十分に発達しているとは言い難い。また、企業が自社の機密情報を効果的に保護するために必要な時間や労力を投資することに消極的なところもある。

情報セキュリティの強化に向けて一歩一歩前進

しかし、データセキュリティに必要な努力は、それほど大きなものである必要はありません。多くの企業にとって朗報なのは、包括的な情報セキュリティ管理システムを一挙に導入する必要がないことです。一方、重要インフラ(CRITIS)については、ドイツのITセキュリティ法で義務付けられています。

また、段階的なアプローチも考えられる。つまり、少なくともISO 9001に準拠した品質管理(QM)システムを持つ企業では、最初のステップとして、要求されるリスクベースのアプローチの更新を行うことができます

情報セキュリティと品質管理

ISO 27001とISO 9001の比較:接点はどこか?まず、ISO 9001品質マネジメント規格は、全面的にリスクベースのアプローチを要求していることに留意する必要があります。しかし、このマネジメントシステム要求事項の実施については、組織によるところが大きいです。例えば、品質マネジメントでは、リスクアセスメントのための個別のプロセスは要求されていませんが、情報セキュリティに関しては、これはあまりにも少ないことは否めません。それにしても。

品質管理上の問題に対するリスクアセスメントは、情報セキュリティに容易に拡張することができます。

そのためには、ISO27001の情報セキュリティマネジメントシステム(ISMS)のセキュリティリスクを特定し、対処するための要求事項を見ることが有効である。ほとんどの側面は、品質マネジメントシステムのユーザが合理的な努力で実施できるものであり、全体的な情報セキュリティへの道のりの第一歩として、留意してください。

情報セキュリティ - リスクと機会

情報セキュリティのISO27001、品質マネジメントのISO9001の両国際規格は、6.1章「リスクと機会への対応策」で関連するトピックを扱っています。要するに、マネジメントシステムにおいて、3つの本質的な側面を確保することが目的です。

  • 組織の意図する結果の達成
  • 望ましくない影響を防止または低減する
  • 一定の基準への準拠による継続的な改善の実現

情報セキュリティに関しては、主にこの3つが本質的な保護目標になります。

  • 機密保持の喪失
  • 情報の完全性
  • 情報の可用性

ISMS規格のISO27001では、以下の要求事項 が規定されています(6.1.1項)。

  • リスクと機会の決定
  • 特定されたリスクと機会への対応策を計画する。
  • 対策がどのように会社のプロセスに組み込まれ、実施されるかを計画する。

リスクの特定と対処

ISO27001の次の章(6.1.2)では、情報セキュリティリスク評価プロセスの確立と適用を要求しています。このプロセスでは、情報セキュリティリスク基準を確立し、維持しなければならない。これには、特に、リスク受容の基準及び情報セキュリティリスク評価の実施が含まれる。

さらに、ISMS規格にあるように、「情報セキュリティリスク評価を繰り返し行うことで、一貫性があり、有効で、比較可能な結果が得られる」ことを保証するプロセスでなければなりません。以下の小項目は、ファーストステップを意識した意義のあるものでしょう。

  • 情報セキュリティリスクの特定
  • 情報セキュリティリスクの分析
  • 情報セキュリティリスクを評価する

6.1.3の要求事項では、以下を達成するために、情報セキュリティリスクに対処するプロセスを確立し、適用することを求めています。

  • リスクアセスメントの結果に基づき、セキュリティリスクに対処するための適切な選択肢を選択する。
  • セキュリティリスクに対処するために選択した選択肢を実施するために必要なすべてのアクションを決定する。
  • 定義された対策とISO27001の附属書Aで規定されている管理(ターゲットアクション)を比較する。
  • 附属書Aの管理策を含める(含めない)理由に関する適用性説明書を作成する。
  • セキュリティリスクへの対応計画の策定
  • リスクオーナーから計画の承認と承諾を得ること
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft
Loading...

Certification according to ISO 27001

情報セキュリティマネジメントシステムがISO27001の認証を取得するためには、どのような労力を想定する必要があるのでしょうか。調べてみましょう。

ISO27001の附属書Aはガイダンスを提供

よく知られているマネジメントシステム規格ISO/IEC 27001の附属書Aは、明確な規範的性格を持っています。これは、目標(コントロール)と対策を含む一種のチェックリストとして理解することができます。セキュリティリスクに対処するための必須事項が見落とされていないことを確認するために利用することができます。 ただし、網羅的であることを保証するものではありません。

情報セキュリティと品質管理 - 最適なアプローチとは?

ISO 27001では、情報セキュリティリスクを評価し、対処するために、2つの別々のプロセスが要求されています。しかし、最初のステップとしては、これらを1つのプロセスに統合し、前述の要件に沿って品質管理のリスク評価を具体的に拡大し、情報セキュリティの側面を含めることができます。このように、2つの規格は、データ保護とITセキュリティのための保護策を実施するための良い基盤となるものです。

ISO/IEC 27001:2013-情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項.

ISO 9001:2015-品質マネジメントシステム-要求事項。

両規格ともISOのホームページから入手可能です。

ISO 27001とISO 9001の比較:前述のプロセスが最終的に各要件にどれだけ深く対応できるかは、組織の情報環境の複雑さと保護が必要なデータに直接依存します。いずれにせよ、外部監査でその有効性を検証してもらうことが望ましい。これは、例えば、ISO 9001に準拠した品質マネジメントシステムの認証審査の過程で、いずれにせよ計画されることが望ましいと言えます。

情報セキュリティと品質マネジメントの融合 - そのメリットは?

  • 情報セキュリティ・リスクを根本的に見直すプロセスは、ISO/IEC 27001に準拠した情報セキュリティの全体的な管理システムへ向けた最初の重要な一歩となりえます。
  • このようなプロセスを実施することで、トップマネジメントは、すべてのレベルにおいて情報およびデータセキュリティ(データ保護)に対する意識を強化することができます。
  • また、情報セキュリティのリスクを的確に把握することで、対策の必要性を認識し、適切な対策を講じることができます(ISO 27001の付録A参照)。
  • リスクアセスメントに情報セキュリティを含めることで、例えば品質管理の一環として、企業のリスクベースのアプローチ全体が強化されます。
  • 実施と有効性テストに必要な資金と人的資源が管理可能である。

DQS。シンプルに品質を活用する

ダイナミクスと安定性のバランスをとるために、認証されたマネジメントシステムの重要性はますます高まっています。なぜなら、成功している企業や組織は、DQSの審査で得られた知見を利用して、継続的に業績を向上させているからです。また、世界的に認められているDQSの認証は、自社の品質能力を客観的に証明するものとして利用されています。これは、組織の内部と外部の両方からの信頼を生み出します。

DQSは、1986年にドイツ初の品質マネジメントに関する認証書を発行しました。1986年8月に行われた最初の審査は、規格の草案に基づいたものでした。1991年、DQSは当時のTGA Trägergemeinschaft für Akkreditierung GmbH(現:DAkkS)からISO 9001/2/3の初認証を取得しました。その後、2000年に英国規格BS 7799-2に基づく情報セキュリティ認証の認定を取得しました。

30年以上にわたるノウハウ

当社のテキストやパンフレットは、長年の経験を持つ当社の規格専門家または審査員によってのみ執筆されています。内容やサービスに関して、著者に質問がある場合は、お気軽にお問い合わせください。

著者名
Gert Krueger

Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.

Loading...