B05-ISMS関連 のバックアップ(No.6)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- 現在との差分 - Visual を表示
- ソース を表示
- B05-ISMS関連 へ行く。
br
○ISMSとは
情報セキュリティマネジメントシステム適合性評価制度であり、
情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメント
により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用するものです。
#情報マネジメントシステム認定センターより
br
○ISMS関連の規格
br
・情報セキュリティマネジメントシステム
ISO/IEC 27001:2013(国際標準化機構)
JIS Q 27001:2014(日本産業規格) ※ほぼ「上記和訳」の理解でOKです
br
・クラウドセキュリティ認証
ISO/IEC 27017:2015(国際標準化機構)
JIS Q 27017:2016(日本産業規格)※ほぼ「上記和訳」の理解でOKです
br
○ISMS認証の取得企業に対する目線と個人見解
(JRCA認定のISMS審査員資格保持者視点です)
br
・結論
高セキュリティの業務委託を行う取引先は、ISMS認証を取得している会社が望ましい。
(「だからと言って必ず安心ではないだろう」という誰もが思いつきそうな稚拙な意見はほっといて・・)
br
・しくみをざっくりと説明
「情報セキュリティに関するしくみ(文書や環境)が一定のレベルにある」→国際規格のレベルに達している
「情報セキュリティに関するしくみ」が運用レベルできちんと実施できている →上記同様
br
・信用の根拠
やはり、第三者の客観的なチェックがあることにつきる。
何も認証を取得していない企業が「当社はしっかり情報セキュリティを管理している」
といっても、エビデンスがないため「信用できない」ため根拠なしの自画自賛でしかない。
そのような企業はたいてい「いいかげん」な管理であることが多く取引対象にすることはありません。
br
・業務委託してはいけない会社
たまに、コンサル支援の認証未取得企業の経営者から「認証を維持することが目的であり、実際は形骸化している
企業が多い、工数が増えるだけし当社の規模に合わないから取得する必要はない」とコメントする経営層がまれにいる。
認証取得企業においては少なくとも一定の基準にあるわけであり、ある程度のレベルは満たしていると考える。
形骸化させてしまうのは、経営層や管理職の「管理、統制、危機管理」の能力が低いことが原因と気づいてない・・
・事前チェック
私は念のため新規取引の際は、企業に対し、過去3年の「審査報告書」の提示と、取引開始時の「現地監査」を
必須項目としています。特にゆるみやすい部分(実務運用で手間がかかるルールの部分)について細かく
チェックすることをお勧めします。(高い確率でルールから逸脱している企業が多いのが現実)
なお、認証取得企業であれば、書類は整っている企業が多いため、書類は細かくチェックする必要性は低いです。
br
○認証に関する情報
・情報マネジメントシステム認定センター
