インターネットの黎明期から組織のIT活用が急速に広がり、今ではITを利用せずに業務を営む企業は無いと思われます。ITは非常に便利で業務の効率化に貢献しますが、その反面でITを悪用して犯罪行為をする人も存在します。ITを活用して業務を遂行する限り、企業は情報セキュリティを考慮し続ける必要があります。
ISO27001(ISMS)は、企業の保有する情報資産に対する機密性・完全性・可用性の3要素を適切に管理することで、「組織における情報資産を安全かつ適切に管理する仕組みが構築されている」ことを認証するものです。企業の情報セキュリティ方針、ルールや活動について認定された第三者が評価し、国際標準に適合しているという証明になります。組織の業態や経営戦略に合わせ、情報セキュリティポリシーを策定し、PDCA(Plan・Do・Check・Act)サイクルで管理することで必要となるセキュリティレベルを維持します。リスク管理の仕組みを構築すると同時に、セキュリティ・リスクの低減や従業員のセキュリティ意識の向上などにも効果があります。
中小企業におけるISMS認証の取得
中小企業は人手が足りない中で、ISMSの認証を取得し維持するとなると更なる業務負荷が発生します。どの程度の負荷が発生するのか。ISMSはPDCAを回し、定期的に外部機関による審査があります。このPDCAを回すために事務局のような機関を作り、その機関でISMSの運用を担います。PDCAの中でリスクアセスメント、セキュリティ教育、内部監査、マネジメントレビューなど必ずやるべきことがありますので、それを事務局が中心となって各部署と一緒に実施していく必要があります。それなりの業務負担は発生しますが、これらの作業は日々刻々と新たなセキュリティ脅威が発生する現在では企業として当然実施すべき事項です。その当然実施すべき事項を、「仕組み」として提供しているのがISMSということになります。そして、ISMSを取得したことにより追加で発生するのは、外部機関による審査のみということになります。
ISMS認証取得の目的
ISMS取得の目的は、企業によって様々です。どのような目的であれ、ISMSを取得することは良いと考えております。なぜならば、ISMSを導入して、情報セキュリティを気にしながら業務を遂行すると、それが企業の風土として根付くからです。中小企業にとって情報セキュリティに対する意識を従業員に根付かせるのは大変な作業になります。ISMSを導入してPDCAを回して運用することにより、その基盤が作られ、やがて企業の風土として構築されると考えております。
以下は、一般的なISMS認証取得の目的となります。
- 情報セキュリティレベルの向上
- 自治体や大手企業との案件受注
- IPOの準備
ISMSでは組織の情報セキュリティ体制を構築し、維持する仕組みが備わっております。定期的な外部組織による審査もあり、企業の情報セキュリティレベルを向上させるには最適な方法かと思われます。
自治体や大手企業との取引において、ISMSの取得が要件となっているケースがあります。ISMSは組織の情報セキュリティ体制が構築されていることを外部機関が認証するため、取引先にとっても安心して業務を任せられます。
IPOを検討している企業には企業統治が求められ、その中には情報システムに対するセキュリティやリスク管理が含まれています。
お客様の実態・ご要望にあわせた「カスタマイズ型」支援
- リスク管理の仕組みに基づく情報資産の適切な保護
- 情報セキュリティの維持・向上、コンプライアンスの強化
- 取引先・消費者からの信頼感の醸成、同業他社との差別化
- セキュリティ事故の未然防止、CSR(社会的説明責任)
- 情報保護に関する法令・規制等への対応
認証取得のステップ
ISMSの認証取得までのステップは以下の通りとなります。Step01からStep03まで3ヶ月程度、Step04からStep11まで4ヶ月程度、Step12からStep13まで2ヶ月程度の期間が必要となり、認証取得まで9ヶ月程度の期間が必要となります。
