ISO27001


◆ISO27001 認証制度の背景

情報技術の発展・普及に伴い、情報活用の利便性が向上した反面、大量の情報が様々なリスクにさらされるようになりました。「顧客情報などの重要な情報が漏えいした。」という話題を耳にすることがあります。我が国では、情報=個人情報と連想する方が多いのですが、実は日常的に見えている、または聞こえていることは全てが情報であり、これら情報の保護はIT産業や情報産業にとどまらず、あらゆる企業・組織に求められています。情報に関する事故は、業務活動の停止や信用の失墜に繋がり、企業・組織に大きなダメージとなります。
そのため、情報の保護、安全対策を体系的に管理することや管理していることを示すことに対するニーズが高まり、情報セキュリティマネジメントシステム(ISMS)の国際規格がISO/IEC27001として2005年に制定され、ISOの認証制度がスタートしました。
情報セキュリティマネジメントシステムを構築運用し、ISO27001の認証を受けることは、取引のための強力なアピールになり、信頼できる会社・組織として認知されることに繋がります。

 

◆情報セキュリティマネジメントシステムとは

情報セキュリティマネジメントシステムは、情報漏洩、改ざん、不正使用、ハードウエア/ソフトウエアのトラブルなどに代表される情報に関連するリスクに対応し、マネジメントするためのツールです。
組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが、情報セキュリティマネジメントシステムの基本コンセプトとなります。
・機密性:許可されていない範囲には情報を使用不可・非公開にする特性
・完全性:情報が正確で完全である特性
・可用性:必要な時に利用できる特性

 

◆ISO27001のフレームワーク

ISO27001は、企業や組織が保有する情報資産の機密性・完全性・可用性に対するリスクの特定、分析、評価を行い、リスクに応じた管理を実施し、維持、改善していく、マネジメントシステムのPlan(計画)、Do(実行)、Check(点検)、Act(処置)のフレームワークを提供します。