指導実績
タテックス有限会社 認証取得支援・保守支援・内部監査員研修実績 | サイトマップISO9001 実績板金加工・製缶業樹脂成型製造業電気部品物流会社樹脂中空成形加工業建築部品製造業機械加工業ビル・複合...
ISO27001 > ISO27001-2013 > 4. 組織の状況から10. 改善 > 付属書A.管理目的及び管理策 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO27001 > 製造業 ISO27001 | サイトマップ
情報セキュリティとは、JIS Q 27000 : 2014では次のように定義されています。~
情報セキュリティ(information security)とは情報の機密性、完全性及び可用性を維持すること。
ここで、機密性(confidentiality)とは、認可されていない個人,エンティティ又はプロセスに対して,情報を使用不可又は非公開にする特性をいう。~
また、完全性(integrity)とは、資産の正確さ及び完全さを保護する特性をいい、可用性(availability)とは、認可されたエンティティが要求したときに,アクセス及び使用が可能である特性をいう。~
これらをバランスよく維持することを指します。
国際規格ISO27001:2005「情報技術-セキュリティ技術一情報セキュリティマネジメントシステム・要求事項」は、情報セキュリティ(information security)をマネジメントするシステムの要求事項が書かれた規格です。~
その後、規格の改定が行われ、現在の最新規格は、2013年版(ISO27001:2013)となっています。
<<ISO/IEC 27001:2013の改定の経緯>>~
ISO/IEC 27001:2005は、2008年10月にISOの定期見直しが開始され、3年間の見直しの予定でしたが、2009年 にISO Guide 83のマネジメントシステム 規格の上位構造(High Level Structure)、 共通テキスト(Identical core text)等の 考え方により改定作業が見直されました。
その結果、共通テキストをベースにした改定 作業が進められました。~
現在では、新規格への移行も終え、ISO/IEC 27001:2013は正式な国際規格として定着して運用されています。
ISMSとは情報セキュリティマネジメントシステム(Information Security Management System)の略称です。企業などの組織が情報を適切に管理し、情報セキュリティを確保するための体系的なしくみ。コンピュータシステムのセキュリティ対策だけでなく、情報を扱う際の基本的な方針(セキュリティポリシー)や、それに基づいた具体的な計画、計画の実施・運用、一定期間ごとの方針・計画の見直しまで含めた、トータルなリスクマネジメント体系のことを指しています。
好むと好まざるに関わらず、企業の活動の奥深くまでコンピュータネットワークシステムが入り込んできている。これは既に避けることが出来ないものとなっている。
既にインターネットシステムは、輸送・交通、エネルギー、金融のネットワークとともにそれらを支える基幹の情報ネットワークとしてライフラインとなっている。
あらゆる分野、あらゆる立場で「情報セキュリティ」が極めて重要となっている。
言い換えれば、ひとたび「情報ネットワークシステム」に何か問題が発生すれば企業の 継続性にも大きな影響が及ぶことを意味し、日常生活も大きな影響を受けることを意味 している。
ISO27001のシステム構築の始めにISMSの適用範囲を決め、ISMS基本方針を制定する。制定した基本方針に基づいて、リスクマネジメントを始めとした具体的な構築作業に取りかかる。
ISO27001認証取得の中核となるリスクマネジメントについては、次のStep1からStep8を行なう。~
(Step1)リスクアセスメント手法を決定する。~
(Step2)保護すべき情報資産に対するリスクを識別する。~
(Step3)リスクを分析し評価する。~
(Step4)リスク対応についての選択肢を明確にし、評価する。~
(Step5)リスク対応に関する管理目的と管理策を選択する。~
(Step6)経営陣は残留リスクの承認をする。~
(Step7)ISMSの導入及び運用について許可する。~
(Step8)適用宣言書を作成する。~
なお、リスクマネジメント用語の汎用的な定義によれば、リスクマネジメントとは「リスクに関して組織を指揮し管理する調整された活動」としている。この結果を元に、各社の業務運営実態に則した各種規定類の策定を行い、経営者の承認を得る。
リスクアセスメントにはいくつかの手法があり、企業が自社の情報資産やその保護の状況を勘案してどの方法を選択するかを決定する。リスクアセスメントは始めてISMSのシステム構築に取り組む際に最も難しい部分となる。自力で行なうより、信頼と実績のあるプロのコンサルタントを活用することがムリ・ムダのない取り組みとなる。
分析手法の例として一般的には次の4つの手法がある。
これらの手法については、ISMSユーザーズガイド-リスクマネジメント編「補章2 GMITSにおけるリスク分析の手法」に解説がある。特長を理解して、最適な手法を選択する。
ISO/IEC 27001:2013「6.1.2 情報セキュリティリスクアセスメント」では、
「組織は、次の事項を行う、情報セキュリティリスクアセスメントのプロセスを定め、適用しなければならない。
a)・・b)・・c)・・d)・・e)・・
とあり、a)ではリスク基準(リスク受容基準、情報セキュリティリスクアセスメントを実施するための基準)を確立し維持する」ことを要求しています。
ここでリスク基準とは、組織の価値観、目的及び資源を反映し、情報セキュリティ目的、組織の 外部状況及び内部状況に基づき、情報セキュリティ要求事項、関連する法規制からの要 求事項及び契約上の義務、並びに情報セキュリティ方針等から導き出されるものです。
リスク基準は、1 つではなく、導き出された複数の基準を組み合わせて考慮することが 望まれます。
またリスク基準は、少なくとも次の要素を考慮して定めることが望まれます。
リスク受容基準とは、リスクを受容するかどうかの判断基準のことです。リスク受容については、JIS Q 27000 では、以下のように定義されています。
リスク受容の意思決定は、リスク所有者により行われます。リスク所有者とは、リスクに対する責任及び権限を負う組織あるいは管理者のことです。情報及び情報に関連する資産の管理責任者(オーナ:owner)の多くは、リスク所有者でもあります。
情報セキュリティリスクアセスメントを実施するための基準として、リスクアセスメントを実施する要件である、その実施条件、計画、契機、時期、タイミング、及び頻度などを規定しておくことが求められます。
8.2 の情報セキュリティリスクアセスメントは、 このリスク基準に基づいて実施されるものです。
JIS Q 27000 で、リスク(risk) とは「目的に対する不確かさの影響。」と定義されています。
リスクアセスメントには、作業を実施するために必要な手順が文書化されている必要があります。
また、上記の「リスクアセスメントの方法」には、リスクに関する判断の基準(リスク 基準)が含まれます。リスク基準については、ユーザーズガイドなどの解説を参照して構築し、運用します。
これらの文書策定は、繰り返し実施する情報セキュリティリスクアセスメントが、一貫性及び妥当性があり、かつ、比較可能な結果を生み出すことを確実にするために行う必要があります。このことは、仮にリスクアセスメントの方法を変更した場合でも、その変更を管理し、必要に応じてリスクアセスメントの結果の比較が可能な状態にしておく ことを含みます。
情報資産の例としては、次のようなものがあります。
情報資産(紙媒体) | 見積書、契約書など |
情報資産(電子媒体) | CD、 MO(持ち運び可能な記憶媒体)など |
情報資産(システム) | 顧客 DB(サーバや PC内に格納される電子情報)など |
ソフトウェア資産 | DTPソフト、文書作成ソフト、表計算ソフトなど |
ハードウェア資産 | PC筐体、サーバ、ルータなど |
サービス | 清掃サービス、ペンディングサービス、ASPサービスなど |
要員 | サーバルームオペレータ、個人情報入力オペレータなど |
2005年版の詳細管理策は、以下のようにA.5からA.15まで11の領域/分類(管理目的:39個、管理策:133個)がありました。
これらの詳細管理策を採用するか否かを適用宣言書で明確に記述するようになっていました。
ISO27001:2005 管理策 |
A.5 セキュリティ基本方針 |
A.6 情報セキュリティのための組織 |
A.7 資産の管理 |
A.8 人的資源のセキュリティ |
A.9 物理的及び環境的セキュリティ |
A.10 通信及び運用管理 |
A.11 アクセス制御 |
A.12 情報システムの取得、開発及び保守 |
A.13 情報セキュリティインシデントの管理 |
A.14 事業継続管理 |
A.15 コンプライアンス |
これが2013年版では、管理策の数が、2005 年の 133 から 114 になりました。(下記)
ISO27001:2013 管理策 |
A.5 セキュリティ基本方針 |
A.6 情報セキュリティのための組織 |
A.7 人的資源セキュリティ |
A.8 資産管理 |
A.9 アクセス制御 |
A.10 暗号化 |
A.11 物理的及び環境的セキュリティ |
A.12 運用管理 |
A.13 通信のセキュリティ |
A.14 システムの取得、開発及び保守 |
A.15 供給者管理 |
A.16 情報セキュリティインシデント管理 |
A.17 事業継続管理規の情報セキュリティの側面 |
A.18 順守 |
これからシステム構築をされる組織は事前のチェックとして、次のチェックをしてみるとよいでしょう。
システム導入運用にあたり社員教育を実施する。初回構築時におけるPDCAの運用であるDoは、初めての取り組みとなるため、開始時は特に「試行」的な運用として、試行錯誤を繰り返しながらシステム運用を確立していくことになる。そのため、取得期限などを加味しながらも出来る限り長い期間を取って、定められた規則や手続きに従い、各人の役割を確かめながら進めていくことが肝要となる。
次にISO27001規格に基づき、運用状況を点検、評価する内部監査を実施する。内部監査において指摘された事項、日々の事件・事故報告、また情報セキュリティに関する利害関係者からの報告事項などをもとに是正処置及び予防処置を実施する。
内部監査結果などのインプット情報を収集してマネジメントレビューを実施する。
製造業、医療情報処理業におけるISO27001・情報セキュリティ、ISMSは下記をクリックください。
タテックス有限会社では、既にISOを認証取得している企業様のシステム改善支援コンサルティング、数年毎に行われる新規格への移行支援コンサルティング、並びに新規に認証取得しようとする企業様への認証取得コンサルティング、内部監査員新規養成研修、内部監査員レベルアップ研修、事務局運用支援サービス、自己適合宣言サービスなどを行っております。
ご相談、お申し込みはお気軽にお問合せください。
お問合せは、ここをクリック~
↓
''お問合せ'' |
~
~
~
~
~
~
シェアボタン: このページをSNSに投稿するのに便利です。
タテックス有限会社 認証取得支援・保守支援・内部監査員研修実績 | サイトマップISO9001 実績板金加工・製缶業樹脂成型製造業電気部品物流会社樹脂中空成形加工業建築部品製造業機械加工業ビル・複合...
ようこそタテックスへ ISOコンサルティングはTATECSいつもタテックスをご愛顧いただき、誠にありがとうございます。タテックス有限会社はコンサルティング会社です。このホームページではISO、経営コン...
ISO27001 > ISO27001:2013とは > 4. 組織の状況から10. 改善 > 付属書A.管理目的及び管理策 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO...
メニュートップページISO認証取得支援ISO27001ISO20000ISO14001ISO14001改善ISO9001ISO9001改善統合MS内部監査員研修内部監査代行財務診断自己適合宣言支援BS...
プライバシーマークとは | サイトマッププライバシーマークは、1998年より運用されている個人情報の保護体制に対する第三者認証制度です。個人情報保護体制の基準への適合性を評価し、一般財団...
お客様の声~ISO9001:2008移行、ISO9001+ISO14001定期審査対応 (H22.09)産廃収集運搬中間処理業 森様この度、ISO9001:2008への移行と、QMS・EMS複合審査を...
FAQ サイトマップこのページは、ISOマネジメントシステムのFAQ(Frequently Asked Questionよくある質問)を掲げています。認証取得...
農業協同組合のISO14001認証取得 | サイトマップ環境保全型農業の推進近年、農業分野においても環境保全型のシステムへの転換が課題となっている。~農業はこれまでは、自然保護的側面を有し...
ISO9001 > ISO9001-2015 > ISO9001-2015 要求事項 > ISO9001システム改善 > ISO9001新規認証取得支援コンサルティング > ISOシステム構築への取組...
ISO9001 > ISO9001-2015 > ISO9001-2015 要求事項 > ISO9001システム改善 > ISO9001新規認証取得支援コンサルティング > ISOシステム構築への取組...
ISO14001 > ISO14001-2015 > ISO14001改善 > 環境関連法規制 > 環境法規制・条例の最新情報、改正または制定の関連リンク > ISO14001用語集 | サイトマ...
ISO27001 > ISO27001-2013 > 4. 組織の状況から10. 改善 > 付属書A.管理目的及び管理策 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO27...
ISO運用支援サービスとはISO9001、ISO14001、ISO27001、ISO20000などの第三者認証取得を行っている組織は、1年もしくは半年毎の定期審査、3年毎の更新審査をクリアしていかなけ...
ISO20000 > IS020000-1_2018 > サービスデリバリ > サービスサポート > データセンターの事例 > IS020000-1:2011とは | サイトマップIS020000-1...
ISO20000 > IS020000-1_2018 > サービスデリバリ > サービスサポートとは > データセンターの事例 > IS020000-1_2011 | サイトマップサービスサポートと...
ISO20000 > IS020000-1_2018 > サービスデリバリとは > サービスサポート > データセンターの事例 > IS020000-1_2011 | サイトマップサービスデリバリとは...
ISO20000 > IS020000-1:2018とは > サービスデリバリ > サービスサポート > データセンターの事例 > IS020000-1_2011 | サイトマップIS020000-1...
ISO20000とは > IS020000-1_2018 > サービスデリバリ > サービスサポート > データセンターの事例 > IS020000-1_2011 | サイトマップITサービスマネジメ...
タテックス有限会社ホームページ サイトマップ sitemapトップページISO認証取得支援コンサルティング認証取得支援ISO9001 品質マネジメントシステムISO9001:2015 とはISO...
ISO20000 > IS020000-1_2018 > サービスデリバリ > サービスサポート > データセンターの事例 > IS020000-1_2011 | サイトマップデータセンターサービスを...