- ISO27001の概要
ISO27001 審査登録制度の背景
「企業情報や顧客情報などの重要で大切な情報を漏えいしてしまった!」という話題をよく耳にします。我が国では、情報=個人情報と連想する方が多いのですが、実は日常的に見えている、または聞こえていることは全てが情報であり、これら情報の保護はIT産業や情報産業にとどまらず、あらゆる企業・組織に求められています。
ISO27001とは
情報セキュリティマネジメントシステムは、企業や組織が保有する情報資産について、機密性・完全性・可用性に基づき脅威や脆弱性の分析をおこない、Plan(計画)、Do(実行)、Check(確認)、Action(改善)というマネジメントシステムのサイクルを繰り返し運用していくというプロセスを取ります。
情報セキュリティとは
情報漏洩、改ざん、不正使用、ハードウエア/ソフトウエアのトラブルなどに代表される情報に関連するリスクを回避し、会社の事業継続をマネジメントするためのツールです。 ISO27001のフレームワーク
情報セキュリティマネジメントシステムは、2005年10月にISO化(ISO/IEC27001:2005)され、さらに2006年5月にはJIS化(JIS Q 27001:2006)されました。
組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが 情報セキュリティマネジメントシステム(ISMS)の基本コンセプトとなります。
機密性:許可されていない範囲には情報を使用不可・非公開にする特性
完全性:情報が正確で完全である特性
可用性:必要な時に利用できる特性
現在は実践のための規範となるISO/IEC17799:2005(JIS Q 27002:2006) と共にISO27000シリーズとして設定されています。今後は導入のガイドとしてISO27003、管理策の測定方法のガイドとしてISO27004、リスクマネジメントのガイドとしてISO27005 が導入される予定です。
情報セキュリティマネジメントシステムを構築運用し、ISO27001の第三者審査機関の認証を受けることは、取引のための強力なアピールにもなり信頼できる会社として認知されることにも繋がります。
⇒次へ(ISO27001取得のメリット)
