datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

企業の情報セキュリティムベアグループの事例

André Saeckel

DQS Standard Expert for Information Security
12月 06日 , 2022
# 組織における情報セキュリティ

今日、企業にとって強固な情報セキュリティは、単に技術的なインフラを確保するだけでなく、はるかに多くの利点をもたらします。機密データの安全な取り扱いや、法令に準拠したデータの処理など、ビジネスプロセス全体が情報セキュリティに大きく依存しているのです。そのため、情報の流れ全体を保護することも、この用語に含まれるようになりました。自動車部品メーカーのムベアは、ISO27001のDQS認証を取得し、欧州10カ国で情報セキュリティの標準化に成功し、競合他社を圧倒している。ITリスクの可能性と機密情報の取り扱いを精査し、継続的に改善・発展させています。

コンテンツ

10カ国の情報セキュリティが競争優位をもたらす

グローバル化により、多くの企業が情報セキュリティに関して大きな課題を抱えています。インフラや法的規制は、場合によっては国ごとに大きく異なる。それでも、グローバルに活動する企業は、あらゆる場所で脆弱性を発見し、適切な保護対策を講じることが義務付けられている。なぜなら、国境を越えたビジネスプロセスのデジタル化により、すべての関係者が同等のレベルのITセキュリティを要求され、それがバリューチェーン全体で保証されなければならないからです。

自動車産業においても、異なる拠点、子会社、サービスプロバイダー間の国際的なコラボレーションを行う場合、データおよび情報の保護がますます重要になってきています。自動車部品メーカーのムベアは、10カ国、合計20社の子会社でITセキュリティのレベルを同じにしたいという大きなハードルに直面しました。

企業における情報セキュリティ - 顧客が注目する端緒となるもの

ボディ、シャシー、パワートレインなどの軽量構造物の専門メーカーが、情報セキュリティに着目し始めたのは数年前のことだ。「お客様が購買条件として情報セキュリティを重視されるようになったのです。顧客はますますこのテーマを購買条件に加えるようになっており、競合他社に差をつけるためにも、迅速に対応する必要がありました」と、同社IT部門情報セキュリティ&コンプライアンス責任者のクリスティアン・ハッベルは報告する。しかし、理由はそれだけではありません。「私たちは、とにかく情報セキュリティの管理体制を常に改善し、従業員にこのテーマを意識させるように努めています。そこで2017年には、ISO27001の認証取得を決定しました。これは、この取り組みに非常に役立っています」とハッベルは語る。

ISO 27001 - 認証がもたらすメリット

ISO 27001は、民間、公共または非営利の組織における情報セキュリティの国際規格です。この規格は、文書化された情報セキュリティマネジメントシステム(ISMS)を設定、導入、運用、最適化するための要求事項を記述しています。認証は、常に各企業の状況に適応し、個別具体的な内容を考慮して行われます。

ISO 27001は、情報セキュリティに加え、関連するリスクの分析と対処に重点を置いた規格です。このため、企業にとっては、業務データの完全性と機密性を保護するための体系的なアプローチが提供されます。同時に、企業プロセスに関わるITシステムの可用性も確保します。この世界的に認められた規格に基づく証明書の有効期限は、通常3年間です。しかし、マネジメントシステムの継続的な改善と有効性を確認するために、毎年モニタリング監査が実施されます。

TISAX® - 自動車セクターのためのアセスメント

自動車業界が定義した情報セキュリティの規格であるTISAX ®(Trusted Information Security AssessmentExchange)が2017年から存在していることは事実であり、このように現在多くの自動車メーカーやサプライヤーがビジネスパートナーに求める認証オプションの一つとなっています。しかし、TISAX®は欧州の業界標準であり、世界的にはまだ確立されていない。

"それは私たちにとって十分なものではありませんでした "と、ハッベルは振り返ります。そのため、アテンダント社は情報セキュリティの面で競争力をつけるために、ISO27001の認証を取得することにしたのである。

DQSによるダブル認証

この決断を踏まえて、Mubeaは適切なパートナーを探すことにし、迷わずDQSに決定した。

habbel-christiane-quelle-mubea

DQSとの出会いは比較的早く、最初の打ち合わせで非常に相性が良いことが分かりました。

クリスティアン・ハッベル Mubea社 IT部門 情報セキュリティ&コンプライアンス責任者

そのため、DQSの審査員はまず、現場での情報セキュリティマネジメントシステム(ISMS)の機能を調査しました。さらに、ISMS認証取得のために、Mubeaは情報セキュリティの基本的な価値観がうまく相互作用していることを証明しなければなりませんでした。また、ISMSの認証には、情報セキュリティの基本的価値である「機密性」「完全性」「可用性」の相互作用がうまく機能していることが必要でした。また、情報セキュリティを脅かす潜在的なITリスクやプロセスがリストアップされ、その中で最適化されました。「DQSとの協力は、非常に実践的で顧客志向のものでした。審査員の深い業界知識は、あらゆる面で私たちをサポートしてくれ、大きな恩恵を受けました」とHabbelは述べています。「これは、ISO 27001とTISAX®の両方の認証に当てはまります。

ヨーロッパ全域の企業情報セキュリティ

しかし、DQSの支援により、Mubeaは本社における機密データや情報のセキュリティを最適化することに成功しただけではありません。DQSの支援により、同社は欧州の10拠点にある20の子会社も新たなセキュリティレベルに引き上げ、共通のセキュリティ標準を確立しました。

Mubeaは、2つの証明書により、顧客やパートナーに対して、自社の情報セキュリティを確実に文書化することができるようになりました。これにより、自動車部品サプライヤーは市場での競争力を高めることができると、Habbelは述べています。「ISO 27001によって、私たちはヨーロッパ全域で高いセキュリティ基準を社内に持ち込んだだけではありません。また、外部からのサイバー攻撃から身を守り、企業の機密資産のセキュリティについて、従業員の意識を高めることができました。情報セキュリティは、単なるITセキュリティとは一線を画しているからです。しかし、現在、私たちは立ち止まっているわけではありません。毎年、マネジメントシステムの主要な部分を監査し、さらなる向上を目指しています。すでに非常に高いレベルにある当社の情報セキュリティは、こうして継続的に進化しているのです" 。

事実、データ、数字

ムベアグループは、自動車の軽量化やCO2排出量の削減など、環境保護に貢献する自動車部品の開発・生産において、世界市場をリードしています。アッテンドアンのオーナー系ファミリー企業は、技術革新とオペレーショナルエクセレンスに重点を置いています。同社は、世界の自動車部品サプライヤー上位100社の中に持続的に入るという野望を抱いています。

製品群には、アクスルスプリング、スタビライザー、繊維複合スプリング、精密鋼管などのシャシー部品、バルブスプリング、オートベルトテンショニングシステム、スプリングバンドクランプなどのエンジン部品、ドライブシャフトやトランスミッションのプレートスプリングなどのトランスミッション部品が含まれます。また、子会社のMubea Flammは、航空宇宙産業や家電産業向けの部品やアセンブリの開発・製造を行っています。

www.mubea.com/en

国際規格に準拠した情報セキュリティマネジメントシステム

情報セキュリティマネジメントシステム(ISMS)は、国際的に認められているISO27001規格が世界中で適用されています。この規格は、あらゆる規模や業種の組織に対して、情報セキュリティの計画、実施、監視のためのフレームワークを提供するものです。その内容は、ITセキュリティの側面だけではありません。特に実用的な価値を持つのは、規格の付属書Aに記載されている対策の実施です。

この規格の要件は一般的に適用可能であり、民間企業、公的企業、非営利団体に適用されます。データ保護と個人データの安全な取り扱いに関して、 ISO 27701 は、この規格に追加される有用なものです。

ISMSのメリット

ISO 27001に準拠したプロセス指向のISMS(情報セキュリティマネジメントシステム)を体系的に構築・導入することで、企業は以下のような決定的なメリットを得ることができます。

  • 機密情報を誤用、損失、開示から保護し、企業のプロセスの不可欠な部分とする。
  • 従業員の意識向上:社内の脅威を確実に検知し、低減することができる。
  • 関連するコンプライアンス要件への準拠、より多くの行動と法的確実性
  • 顧客、ビジネスパートナー、一般社会からの信頼の構築
  • 競争力の向上
  • プロセスおよびITコストの最適化

この規格は、 ISOのウェブサイトから入手できます。
ISO/iec 27001:2013- 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム-要求事項

DQS。Simply leveraging Quality(シンプルに品質を活用する)。

DQSは、マネジメントシステムおよびプロセスの審査と認証を専門に行っています。35年以上の経験と2,500人の審査員の専門知識により、ドイツのフランクフルト・アム・マインに本社を置き、経営のための有能なパートナーとして活躍しています。私たちは、約200の認められた規格や規則、またはお客様の会社固有の仕様に基づき、地域、国内、国際的に監査を行います。

監査や認証を行う上で、公平性と客観性は私たちにとって不可欠な要素です。そして、これは規範的な分野だけでなく、すべての監査活動の実施に適用されます。

企業や組織の情報セキュリティマネジメントシステム(ISMS)の認証をご希望の方は、ぜひ私たちにご相談ください。

iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung

ISO27001認証取得

情報セキュリティマネジメントシステムの認証取得に必要な労力と費用をご紹介します。無料で情報を入手することができます。

Wir freuen uns auf das Gespräch mit Ihnen.
著者名
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

ご質問はありませんか?

お気軽にお問い合わせください。
お問い合わせはこちら