特集
» 2007年07月13日 07時00分 公開

これがなければ始まらない? ISO27001取得への道:「Pマーク取得祭り」の次に来るもの (3/3)

[富永康信(ロビンソン),ITmedia]
前のページへ 1|2|3       

セキュリティの「新基準」となったISO27001

 ISMSを実現する手段として注目を集めているのが、「ISO/IEC27001」(以下、ISO27001)と呼ばれる情報セキュリティの国際規格だ。2005年10月に発行され、これを基にした国内規格として日本語化した「JIS Q 27001」が2006年5月20日に発行された。

 ISO27001は、ハードウェア/ソフトウェアの技術的な規格ではなく、企業の情報セキュリティ管理の共通基盤を提供し、企業間の取引を信頼できるものとするISMSの第三者適合性評価制度として、一時の取得フィーバーが沈静化した感のあるPマークに代わって人気が高まっている。

 審査に合格した企業は、社内の情報セキュリティに関する意識改革や業務プロセスの改善を実現するとともに、取引先企業に対して情報セキュリティマネジメントシステムの世界標準に準拠する企業として自社をアピールできるメリットもある。

表1●ISO27001(JIS Q27001)およびプライバシーマークの規格/ガイドライン比較
ISO27001(JIS Q27001) プライバシーマーク(2006年度版)
概要 顧客に対して情報セキュリティをしっかりと管理できる企業であることを知らせるための審査規格 個人情報保護を適切に行っている企業が評価/認定され、Pマークを付与される制度
対象 マネジメントシステム(情報資産) マネジメントシステム(個人情報)
発行時期 2005年10月 2006年5月
JIS化 2006年5月 2006年5月
審査の適用規格 ISO27001(JIS Q27001) JIS Q15001
主幹団体 (財)日本情報処理開発協会(JIPDEC) (財)日本情報処理開発協会(JIPDEC)
審査会社数 23社 11社
国内取得件数 2241件(2007年6月29日現在) 7756件(2007年6月25日現在)
グローバル取得件数 3350件(2007年3月現在、BS7799含む)
主な取得業種 金融業、IT関連、印刷会社など IT関連、人材派遣、学習塾など
(参考:トーマツ環境品質研究所)

情報セキュリティマネジメントのPDCA

 ISO27001の情報セキュリティマネジメントシステムでは、まずリスクを洗い出す作業から始まる。リスクの分析/評価を行い、そのリスクに対してどのような対応を実施すべきなのかを計画、ルールに基づいた運用と対策を実行する(図2)。その実行状況や目標の達成状況がどうか定期的にチェックして、その間の事故や違反を監視するとともに、内部監査でルールも守られているかを確認する。

図2 図2●情報セキュリティマネジメントシステムの概念(出典:トーマツ環境品質研究所)

 もし、このチェック段階でルールが守られていない、あるいは対策が不十分の場合、再発を防止する対策を強化する。これが情報セキュリティマネジメントシステムの一連の流れとなる。

 では、情報セキュリティの現場サイドでの具体的な対策とは何か? それについて平山氏は、「他社がセキュリティの設備を導入したからといって、それを真似る必要はない。自社の仕組みとして情報が守られ、データの正確性が合理的に保てるのであれば、単純な仕組みでも構わない」と述べる。シンプルなルールの徹底による対策でも、効果が認められればそれで十分ということだ。

 大切なのは、対策の数を増やすだけではなく、費用対効果を勘案した企業の合理的な判断であること。例えば、文書の廃棄について、シュレッダーで細かく裁断するのか、文書廃棄箱を設置して専門業者に廃棄を依頼するのか。あるいは、コピーの制限については、カードで制限するのか、コピー機自体を設置しなのか、といった点である。

 だが、世の中にはセキュリティツールと呼ばれるものが数限りなく存在する。一体、何が自社に必要なのかを合理的に判断することが情報セキュリティマネジメントでは重要となる。

(後編に続く)

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ