• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001を新規取得するとセキュリティレベルは上がるのか?
業界初!全額返金保証!月額4万円からのISO取得サービス
  • 2016年2月10日
  • ISO

ISO27001を新規取得するとセキュリティレベルは上がるのか?

-shared-img-thumb-S001_megane0220140830145944_TP_V

お世話になっております。ISO総合研究所の小嶋です。
いつもご愛読いただきありがとうございます。

今回はISO27001(アイエスオー27001)を新規取得するとセキュリティレベルは上がるのか?について書かせていただきます。

ISO27001(アイエスオー27001)を新規取得する理由は企業様によってさまざまであるかと思います。取引条件にあるからというのが一番多い理由でしょうか。

今回は皆様が新規取得によって陥りやすい勘違いを書かせていただきますので、最後までお付き合いいただければ幸いでございます。

ISO27001(アイエスオー27001)とはなにか?

ISO27001(アイエスオー27001)とは組織が保有する情報をCIA(機密性、完全性、可用性)の3つの観点から維持・向上を図り、仕組みと活動の要件を規定する国際規格となります。

組織のトップが情報セキュリティについて方針(方向性)を示し、規格が定める要求事項を満たすためにルールを作り、P・D・C・A(計画・実施・評価・改善)のサイクルを回してレベルアップを図るものとなります。

Pマーク(プライバシ―マーク)との違い

ISO27001(アイエスオー27001)は情報資産を保護する仕組み(情報セキュリティマネジメントシステム)を構築・運用するための国際規格です。

これに対して、Pマーク(プライバシ―マーク)は個人情報を保護する仕組み(個人情報保護マネジメントシステム)を構築・運用するための日本独自の規格です。
ISO27001(アイエスオー27001)は個人情報を含む情報資産全般を管理します。

しかし、Pマーク(プライバシ―マーク)の対象は個人情報に限定されます。社内にある情報資産を洗い出して、発生するリスクを特定し、安全管理策を考えて実行するというマネジメントシステムという意味では同じです。

結論から言って、ISO27001(アイエスオー27001)を取得したからといって社内のセキュリティレベルは上がりません。

ISO27001(アイエスオー27001)を取得したけど、社内のセキュリティが上がっていないという悩みをISO27001(アイエスオー27001)取得されたお客様から聞くことがあります。
これはどういう状況かというと、ISO27001(アイエスオー27001)を取得したいからといって無理なルールを作ってしまうと逆に社内で運用することができなくなり、結局は形式上のルールになっているからです。

そうではなく、ISO27001(アイエスオー27001)はスパイラル的に良くしていくためとしてのツールとして使って頂きたいのです。どれだけセキュリティを固くしても情報が漏れる時は漏れてしまいます。そのリスクを0にすることはできないです。

その為に現状を把握し、現在実施している対策をISO27001(アイエスオー27001)に落とし込み文書化します。そうすることによってもっとこうした方が良いのではないのか、現状の対策のままでもいいが教育は実施したほうが良いのではないかと思って頂ければ、それを取組みとして実施してもらいたいのです。

具体例

具体例を出してみましょう。

従業員の情報セキュリティに対する意識について

なぜ情報セキュリティに対してルールを守る必要があるのか、守らなければどういった状況になる可能性があるのかということについて、教育を実施し理解してもらうことが大切です。
情報セキュリティ対策は、従業員に対して押しつけ感があっては、決して浸透しません。必要であると理解してもらうことが大切です。

情報セキュリティのルールを作成

情報セキュリティに対する管理ルールも、守れなければ意味がないので、従業員が守れるルールである必要があります。
例えばUSBです。USBの使用を禁止するというルールを作成したとしましょう。ではどうでしょうか?今までUSBを使用していた従業員は業務がやりにくくなると言う苦情が出てきました。そうすることにより業務の回転が悪くなり以前より業務の効率が落ちてしまいませんでしょうか?作成したルールを守ることによって業務に支障を来たすようでは、守ることが困難です。業務の流れ、業務に対する人員、会社規模を把握した上で、実施できる事かどうかの判断が必要です。

という理由からISO27001(アイエスオー27001)を取得したからといって社内の情報セキュリティは上がりません。
もし取得する理由が社内の情報セキュリティを上げたいからという事で取得しようと思うのであればその考え方を変えたほうがよいでしょう。これはPマーク(プライバシ―マーク)も同様の事が言えますが、机上の空論に近いのはPマーク(プライバシ―マーク)の方だと思うので活用しようと思うのであればISO27001(アイエスオー27001)の方がお勧めです。
但し、ISO27001(アイエスオー27001)の書類を自社で作成しようが、コンサルタントを使用して作成しようが実際に運用するのは自社なのですから。

いかがでしたでしょうか。もし、勘違いに気づかれた方は是非このような勘違いから脱却してください。
ISO27001(アイエスオー27001)のことでお困りの事、相談がありましたらお気軽にISO総合研究所にご連絡ください。

最後までお読みいただきありがとうございました。

カテゴリー:ISOコラム タグ:ISO
関連記事

【ISO総研】
メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ