NSS株式会社 サービスサイト

各種ISO取得、運用サイト【ISOプロ】

Yahoo検索ランキング1位 イプロスカタログランキング1位

システム開発業でのISO27001導入の課題

ISOプロ担当者

ISO27001は情報の機密性を保持するための国際規格で、昨今ではこの規格を取得する企業も徐々に増えてきています。

IT業界、特にシステム開発業ではISO27001を取得することによってメリットも多数あり、そういった事情から取得に向けて取り組んでいる企業も増えてきているのが現実です。規格を導入するためには、どのような問題をクリアしていく必要があるのでしょうか。

一番の課題は派遣されるSEの教育

ISO27001は情報セキュリティの国際規格となります。IT技術が発達した今日では、情報漏洩のリスクが叫ばれるようになってきており、企業が機密情報を外部へと漏らさないために、ISO27001が取得されるようになってきています。

情報は気密性、完全性、可用性の3点によって守られることになり、これら3要素のバランスを高レベルで維持し続けることによってISOの導入が可能となります。機密性とは、アクセスの認可が下りている人だけがアクセス可能であるかどうかを意味しており、完全性は情報が完全な状態で保存されることを、可用性は情報資産が必要な時に利用できることを意味しています。

情報セキュリティシステムについてもPDCAサイクルを構築することによって問題をクリアすることができますので、社内においても制度の見直し及び実施を行っていくようにしましょう。

ISOの規格取得における問題として、まず難問になるのは、クライアントへと派遣されることになるSEの教育です。取引先から仕事の依頼を受け、信頼を獲得するためには、システム開発業から派遣されるSEがいかに現場で活躍できるかがカギになります。IT業界ではシステム開発業者が現地に赴いて、その場で仕事をするのが慣例になっており、そのため派遣される方がいかに情報漏洩というリスクを考えて仕事ができるのかが重要視されることになります。

もしもSEの教育が行き届いていない場合には、最悪のケースだとクライアントの機密情報が外部へと漏れてしまい、責任問題にまで発展することもありますので、そういった事態を引き起こさないためにもSEの教育はしっかりと行わなければなりません。

システム開発業でよくあるデータ運搬も課題の一つ

情報が漏えいしてしまう可能性は、単にインターネットや情報通信中に限った話ではなく、物理的にデータを運搬している際にも漏れてしまう可能性があります。機密情報を扱っている仕事であるのにも関わらず、自分のパソコンや端末に保存して、自宅で作業をしたり、データディスクを作成して外部へと持ち出したりすることで、外部へと漏れてしまう可能性がありますので、データ運搬についても社員の教育にてしっかりと教え込ませておかなければなりません。

これはもちろん、システム中の情報通信のセキュリティをおろそかにして良いという話ではありません。近年では電子メールやインターネットを介した情報通信が発達しており、データの運搬には非常に便利ではあるものの、ここが最もセキュリティとして問題が見つかることが多いため、システムの構築にも余念無く、セキュリティ面の対策を行っていく必要があるのです。例えばクラウドコンピューティングによるシステム提供を行う場合には、ここに抜け目が発生する可能性も高いため注意が必要です。

この他にも、個人情報保護法への配慮が必要など、ISO27001を入れるためにクリアする必要のある課題は山積しているというのが現実です。法律の勉強から始め、セキュリティ技術についても高レベルの技術が必要となり、更にこれを評価、改善していく制度作りに、SEの方々の倫理的な教育と、国際規格を取得するためには、様々な課題をクリアしていく必要があるのです。

取引先企業から信頼を得るためのISO27001導入

新たな技術が開発されるということは、新たな犯罪が発生する可能性があることも同時に意味しています。情報通信技術が発達してきている昨今では、データの重要性や犯罪と対峙するためのセキュリティ技術の重要性も高まってきています。

情報が漏えいしてしまうことのリスクがあるからこそ、セキュリティという需要が高まっていることも事実で、ISO27001を入れることは、取引先企業から信頼を得ることにもつながりますので、これを入れることを検討するシステム開発業者が続々と登場しているわけです。

いえ、現在ではむしろ、競合他社が既に規格を入れてしまっているからこそ、出遅れるわけにはいかず、取得を急ぐ中小企業が増加していると言った方が正しいかもしれません。いずれにせよ、情報セキュリティの国際規格は、取得することによって、提供するサービスのクオリティを高めることにつながりますので、まだ取得していない企業は取得の検討をおすすめします。

情報セキュリティの国際規格、ISO27001は、取得することによって様々な恩恵を受けられますが、取得のためには多く問題を解決していかなければなりません。個人レベルの教育、情報セキュリティ技術の向上、システムの構築及び健全な運用などが問題として考えられ、規格を導入するためにはこれらの問題をクリアしていかなければなりません。

ISOプロでは月額3万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額3万円からご利用いただけます。

関連する記事・ページ

TOP