IT業界に強い「ISO27001」認証取得について
ISO27001
とは、情報セキュリティマネジメントシステムの国際規格
です。この規格では、情報資産の紛失、改ざん、盗難、破壊などのリスクから保護するための仕組みを、社内に構築・運用する際の基準・ルールを定めることが求められます。
情報セキュリティに関するシステム構築は、どこにおいても求められており、日本ではIT企業も含めて、実に約5,000社もの企業が取得しています。近年では、重大な情報漏洩や接続障害などの自己・事件から企業を守るための手段として、その信頼性が高くなっています。それに伴い、企業間での取引要件に取り入れられるようになってきているのが現状です。
IT業界でも例外ではなく、大手から中小企業まで多くの企業が取得済、もしくは取得を目指しています。ここでは、IT企業の中でシステム開発業を例として、
ISO
27001の
認証
取得に必要な要素について考えていきます。
システム開発業での導入における課題
この業界では、派遣されたSEなどが取引先企業内でシステム開発を行うことが慣例です。
その中で、取引先企業から信頼を獲得するためには、その派遣SEに対してどのように教育を行うかが大切になります。
また、この業界ではシステムをテストする際に、生データを運搬する機会が多くなりやすいという特徴があります。その際に、データの運搬をどのように行うかという点を定めておくことが必要です。
システム開発業におけるISO27001認証で求められるもの
ISO27001を取得するにあたって、最初に求められるのは会社法上の内部統制です。審査においては、「会社が営む事業の規模、特性
などに応じたリスク管理ができているかどうか」を見られます。
先述したように、派遣されたSEなどが取引先企業内でシステム開発を行うことが慣例となっていることから、SEによる取引先の機密情報が漏洩されるリスクに備えなければなりません。
次に、生データをどのように運搬するかという点が大切です。これらの点について、今までの運用体制を検証して、より良い管理体制を構築すること、その体制について、全てのSEに教育を徹底する必要があります。
2番目は個人情報保護法への配慮です。
個人情報保護法では、安全管理措置義務の他、正確かつ最新の内容を保つ義務(訂正を含む)、利用目的の制限、従業者の監督、委託先の監督の義務があります。
システム開発業におけるISO27001の運用上では、情報セキュリティ監査やセキュリティ事件・事故が発生した祭の対応方法を考えておくことが大切です。
3番目は、クラウドサービスに関する対処方法です。
近年、ITサービスの向上にともなって、クラウドコンピューティングによるシステムの提供を行うケースが増えてきています。
クラウドコンピューティングによるサービスは、サービス事業者のコントロールがより大きい面があるため、個人情報の保護、営業秘密の管理、内部統制、取引先企業の情報漏洩の禁止という点において、より細かい配慮が求められます。
審査に合格するためには、情報の機密性が求められるので、これから取得しようとする企業は、自社の情報だけでなく、取引先企業の情報の漏洩を以下に防ぐかという点に配慮することが大切です。
認証取得について
どのISOでも同じことですが、適用範囲を決めなければなりません。適用範囲とは、以下の5つの観点からなります。
- 事業:全体で取るのか特定の事業・サービスで取るのかという点を指します
- 組織:事業に該当する部門・事業部・会社を指します
- 所在地:事業・阻止区が存在する建物やフロアのことです
- 資産:ここでは書類やデータ、機器などのことです
- 技術:事業・阻止区・所在地・資産維持・管理するための仕組みを指します
>
全社で取るか、部分で取るかは、それぞれの考え方です。
特にITですと、かなり大きなデータを持っているので、取得までの作業も大掛かりなものになりがちです。全部門で取得しようと考えるとすると、情報資産の棚卸しやリスク分析は全社を挙げて行うことになります。
プロジェクトメンバーも、最低限3つの階層が必要です。
- プロジェクトリーダー
- プロジェクトコアメンバー
- プロジェクトサブメンバー
取得には、経営陣との連携が必要になることから、リーダーは役員がつくことが理想です。
次に、コアメンバーとサブメンバーは実作業を行うので、業務内容や特性を理解している人で、作業に時間を割ける人が理想です。
もちろん、メンバー以外の人にも作業に協力してもらう必要があるため、事前に全従業員に向けて告知するとともに、経営陣と連携して作業できるようなメンバーを立てる必要があります。
それとともに、ITにおける近年の技術の進歩は、クラウドコンピューティングなどに代表されるように目覚ましいものがあるので、技術の進歩に送れないような仕組み作りが求められます。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい