ISO27001(ISMS)認証支援コンサルティング

創研Bizは、情報セキュリティマネジメントシステム(ISO27001)の認証取得支援を行います。

この度は、当社のISO27001(ISMS)のページをご覧頂き、誠にありがとうございます。本規格は、企業活動にて現在も、今後も対策をおこなっていく必要があるセキュリティに関する規格です。企業の中の情報資産と資産価値を明確にし、リスクを分析・評価し、管理策にて対策をおこなうものです。当然、社内の中にセキュリティに関するルールや約束事を作ることも必要です。確かに、認証するにあたっては、社内の作業が発生するのも事実ですが、セキュリティというリスク管理をおこなう上では、とても重要な規格だと思います。当社のコンサルタント一緒になって、本認証を目指しませんか?

創研BizのISO27001(ISMS)コンサルティング特徴

1安心の価格保証

当社のお見積書には認証に必要なサンプル文書類・コンサルタント・旅費・交通費が発生する場合は明確にご提示します。また、認証書がお手元に届くまで期間やご訪問回数が超過しても追加費用なしです。当然年会員費・年会費用は不要です。

2運用面を考えたご支援

様々なご支援の会社がございます。当社は、貴社の状況・運用を考えたサポートを行います。折角認証取得をしても持っているだけでは意味がないですよね。当社が文書を作る場合でも、ヒアリングしながら文書を作るなどして作成を行います。

3必要な文書は、コンサルタントが作成をします

長年、ご支援を行っていると文書作成に多大な時間が掛かってしまう、時間が掛かる割にあまり、生産性を感じないといった声が多いのがこの文書作成です。このマニュアルをはじめとした文書はコンサルタントが中心となって作成します。但し、皆様には貴社にしかできない、リスク分析などをご検討ください。

4企業体としてご支援する体制を作ります

当社は、企業でこのお仕事をさせて頂いています。個人でのご支援ではないので、それぞれプロの担当者が責任・役割を果たしながら貴社をご支援をさせて頂きます。当社のコンサルタントはご支援実績がのべ100社以上の経験があるものばかりです。特に難解な言葉を分かり易い言葉で説明する能力に優れているものばかりです。

ISO27001(ISMS)認証取得スケジュール

ISO27001(ISMS)認証取得支援スケジュール
お見積りからの進め方

創研BIzのISO27001のご支援は貴社のニーズに合わせて支援menuを作成します。上のスケジュールの場合、期間:8ヶ月、訪問回数:14回を想定した内容です。

ISO認証支援についてのお見積りについてはこちらからcrick→

お問合せ

お電話または、メールにて受付しております。

電話:通話費用無料:0120-971-254 創研Biz ISO事務局宛

※受付時間:平日9:00-17:00(年末年始に休暇あり)

MAIL:メールフォーム からお願いいたします。

※24H受付していますが、返信が2営業日時になります。予めご了承をお願いいたします。

ISO27001コンサルティング可能エリアについて

北海道地方

北海道

東北地方

青森県・秋田県・山形県・岩手県・宮城県・福島県

関東地方

茨城県・栃木県・群馬県・埼玉県・千葉県・東京都・神奈川県

中部地方

新潟県・静岡県・山梨県・長野県・愛知県・岐阜県・富山県・福井県・石川県

近畿地方

三重県・大阪府・滋賀県・京都府・奈良県・兵庫県・和歌山県

中国地方

鳥取県・島根県・岡山県・広島県・山口県

四国地方

香川県・愛媛県・徳島県・高知県

九州地方

福岡県・大分県・佐賀県・長崎県・熊本県・鹿児島県・宮崎県・沖縄県

情報セキュリティにおける基本 ~ ISMSが対象とするもの

ISMSは,情報セキュリティマネジメントシステムと,日本語では訳され,国際標準規格であるISO規格ではISO27001にあたります。では,ISMS=ISO27001において,情報セキュリティに関わる「脅威」には,どのようなものがあるのでしょう?

1.そもそも価値の高い情報は,組織内部にしかないのだが・・・

各組織には,機密とされる情報がたくさんあるはずです。たとえば,顧客や従業員の個人情報、製品・サービスの開発情報、経営計画の情報といったものです。それらは,その組織にとって非常に価値が高いもの。つまり,資産と言えるわけです。
そのような情報資産は,本来ならその組織内部で管理されており,外部に出ることはないはずです。これは,紙面に落とされている情報資産でも,データ化されている情報資産でも同じです。
一方,情報資産は,「資産」と言うだけあり,ただ貯めておくだけでは価値を生みません。よって,情報資産は「運用=投資」を行う対象となります。つまり,組織内部で利用することになるわけです。
利用するには,「利用できる環境を整備すること」が必要になります。紙面に落とされている情報資産であれば,それを閲覧できる環境をつくったり,複合機を通じてコピーしたり,といったことを通じて,利用するのが一般的でしょう。一方で,データ化されている情報資産の場合は,メディアを通じて,あるいは,イントラネットも含めネットワークを通じて,利用されることになるはずです。つまり,
「情報資産は利用できる環境をつくる必要もある」わけです。

2.情報セキュリティにおける「脅威」

 情報セキュリティにおける「脅威」は,大きくは「外部からの攻撃」と,「内部からの攻撃」との2つに分けることができるわけですが,実は,「情報資産は利用できる環境がある」ことが,その脅威の源になっています。

(1)外部からの攻撃
 外部からの攻撃とは,いわば見知らぬ他者からの泥棒行為であり,破壊行為です。
ここで特に問題になるのは,データ化されている情報資産です。
まずデータ化されている情報資産は,PCの中,スマートフォンの中,サーバの中,USBなどのメディアの中などに保管されることになります。一方,これを利用する場合には,USBなど物理的なモノを通じて利用するほか,ネットワークを通じて利用するケースが多くなります。仮にPC内にあるデータを利用する場合でも,そのPCが何らかのネットワークにつながっているのがほとんどでしょう。
ネットワークには,組織内部のみが使えるイントラネットと,外の世界ともつながるインターネットがありますが,外部からの攻撃はインターネットを通じて行われるのが主流となるわけです。その主なものとしては,コンピュータへの不正アクセス,ネットワークの盗聴,無線LANの盗用,スパイウエア・アドウエアといったいわゆるコンピュータウイルスなどがあり,このような泥棒・破壊行為により,大切な情報資産が漏洩させられたり,暴露されたり,改ざんされたり,破壊されたりするのです。

(2)内部からの攻撃
 内部からの攻撃とは,組織内部で働く,アルバイトやパート,常駐パートナーなどを含む方々によるものです。泥棒行為・破壊行為ももちろん考えられますが,むしろ,過失や紛失が原因となっているものが多いのが特徴です。たとえば,紙面化された機密情報をシュレッダーなどの適切な処理をせずに捨てた,機密情報を複合機で出力したまま放置し持ち去られた,PCやスマホ,USBなどのデバイスを紛失した・置き忘れた,TO指定やCC指定でメール配信してしまい顧客のメールアドレスをばら撒く形になってしまった,などが,「情報に関わるよくある事故」としてあげられます。
他にも,「本来アクセスする権限のない人や組織が,その情報にアクセスした」という場合も,立派な(?)情報漏洩・情報に関する事故です。たとえば,「上場企業が有力企業を買収することが担当者以外に知れてしまい,その情報を知った人が自社株を大量購入した」というようなケースがインサイダー取引として摘発対象になることを考えると,これが情報漏洩・情報に関する事故にあたることが理解できるのではないでしょうか。

3.情報セキュリティの3要素

 このように見てくると,情報セキュリティを考えるにあたって最も重要なことは,「その情報を利用できる権限を与えられた個人や組織だけが,その情報を意図通りに利用できる環境・状態をつくることだ」と,思われるのではないでしょうか?
 実際,ISMS=ISO27001において,「情報セキュリティとは,情報の機密性,完全性及び可用性の維持」と定義されています。そして,「機密性」「完全性」「可用性」は,情報セキュリティの3要素とされています。

(1) 機密性:アクセスを認可された者だけが,情報にアクセスできることを確実にすること
 情報を機密度別に分類,かつ,役割・担当別に利用できる状態にする必要がある,ということです。誰でもかれでも情報にアクセスできる環境は,「外部から攻撃されやすくなる」,「内部での過失・紛失などが起きる可能性も高まる」と考えるとわかりやすいでしょう。よって,場合によっては社長ですら,一部の情報にはアクセスできないよう,制限をかける必要が出てくるのです。社長も人の子,悪いことをしないとは限らないし,過失を起こさないとは限らない,ということです(笑)

(2) 完全性:情報および処理方法が正確であること及び完全であることを保護すること
 誤った情報を用いた場合,その後の対応も誤ることになる他,その他の問題を引き起こす可能性がでてきます。たとえば,料金引き落としについて,Aさんに請求すべきところをBさんに請求してしまった,そして,実際に引き落としてしまったとしたら,大問題であることがわかるでしょう。他にも,情報を最新のものに更新すること,改ざんされるようなことがない状態であること,必要な情報が消去されていないことなどが,完全性にあたります。

(3) 可用性:認可された利用者が,必要なときに,情報及び関連する資産にアクセスできることを確実にすること
 ひと言で言えば,その情報を利用する権限が与えられている人が「使いたいときに,使える状態にあること」と言うことができます。よく「システムダウンや,天災が起きるなどしたときでもすぐに復旧できたり,情報にアクセスできたりする状態であること」などと説明されますが,単純に「必要な時に,必要な場所で,認可された人が認可された条件内で,その役割・担当の職務を行うことを目的に,定められた方法で」,「必要な情報を使えること」が必要だ,ということになります。

 実は,「機密性・完全性」と「可用性」は,一般的には「あちらを立てれば,こちらが立たず」という関係で成り立っています。たとえば,「機密性」を高めると,アクセスできる人が制限されるわけですから,「可用性」は低減しがちです。また,「完全性」を高めるために「加工は一切不可」のようにすると,これもまた「可用性」が低減されることになります。一方で,「可用性」を重視しすぎると,誰でもかれでも情報へのアクセスが可能になってしまいます。結果,外部からの攻撃を受けやすくなり,情報利用時に内部人員が過失や紛失を起こすリスクも高まるなど,「機密性・完全性」が失われかねません。よって,情報セキュリティにおいては,「脅威」との関係も見極めながら,この3要素のバランスを保つことが重要になるのです。

PAGE TOP