B05-ISMS関連 のバックアップ(No.5)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- 現在との差分 - Visual を表示
- ソース を表示
- B05-ISMS関連 へ行く。
br
○ISMSとは
情報セキュリティマネジメントシステム適合性評価制度であり、
情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメント
により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用するものです。
#情報マネジメントシステム認定センターより
br
○ISMS関連の規格
br
・情報セキュリティマネジメントシステム
ISO/IEC 27001:2013(国際標準化機構)
JIS Q 27001:2014(日本産業規格) ※ほぼ「上記和訳」の理解でOKです
br
・クラウドセキュリティ認証
ISO/IEC 27017:2015(国際標準化機構)
JIS Q 27017:2016(日本産業規格)※ほぼ「上記和訳」の理解でOKです
br
○ISMS認証の取得企業に対する目線と個人見解
(JRCA認定のISMS審査員資格保持者視点です)
br
・結論
高セキュリティの業務委託を行う取引先は、ISMS認証を取得している会社が望ましい。
br
・しくみをざっくりと説明
「情報セキュリティに関するしくみ(文書や環境)が一定のレベルにある」→国際規格のレベルに達している
「情報セキュリティに関するしくみ」が運用レベルできちんと実施できている →上記同様
br
・信用の根拠
何も認証を取得していない企業が「当社はしっかり情報セキュリティを管理している」
といっても、エビデンスがないため「信用できない」。私個人の見解としてはそのような企業はたいてい
「いいかげん」な管理であることが多く取引対象にはなりません。(第三者チェックがないから)
br
・業務委託してはいけない会社
たまに、認証未取得の企業から「認証を維持することが目的であり、実際は形骸化している企業が多い、
だから取得する必要はない」とお聞きすることもありますが、認証取得企業においては少なくとも、
審査員の目からは一定の基準にあるわけであり、ある程度のレベルは満たしていると考える。
※形骸化=経営層や管理職の「管理、統制」の能力が低いことを自ら露呈しており、
危険な発言であり言い訳にも聞こえる
・事前チェック
私は念のため新規取引の際は、企業に対し、過去3年の「審査報告書」の提示と、取引開始時の「現地監査」を
必須項目としています。特にゆるみやすい部分(実務運用で手間がかかるルールの部分)について細かく
チェックすることをお勧めします。(高い確率でルールから逸脱している企業が多いのが現実)
認証取得企業であれば、書類は整っている企業が多いため、書類は細かくチェックする必要性は低いです。
br
○認証に関する情報
br
・情報マネジメントシステム認定センター
