ISO認証取得コンサルティングは(有)アネシスへ。事業内容認証実績コンサルタントは私です。(会社案内)お知らせ一覧関連リンク集
事業内容 ISO認証取得ほか、業務に関するお問い合せ・資料請求はこちらです
ISO27001
難しく考える必要はありません。経営のコストダウンは、環境にやさしい企業への第一歩なのです。

ISO9001ISO14001などと同じマネジメントシステムの最新の国際規格です。ですから、ISO9001(顧客満足に関連した品質の規格)やISO14001(環境に関連した規格)と同じように「情報のセキュリティーに関して、企業としての方針と目標を定め、その目標を達成して行く上で必要な仕組みを作るための規格」といえます。

ISO27001・アネシス

27001の具体的な構築は下記のような内容です。

  1. 企業の情報資産(社内の情報のこと)を洗い出し、それぞれの価値を評価して「守るべき情報」を設定します。
  2. 「守るべき情報」のリスクを分析・評価してリスク対策が必要か必要でないかを判断します。
  3. リスクを低減するために役立つ対策を、規格の「管理目的及び管理策」をチェックリストとして使いながら検討し、「適用宣言書」を作成します。

※上記1と2はISO14001の環境影響評価とマネジメントプログラムに似ています。

もちろん、マネジメントシステムの規格ですから、9001や14001と同様に、文書管理、教育訓練、内部監査、マネジメントレビューなどのしくみも構築しPDCAを回さなければなりません。ただ、すでに9001か14001を認証取得している企業は別の仕組みを構築する必要は全くなく、従来の仕組みを上手に利用して上記の1,2,3を加えればいいのです。マネジメントシステムですから基本は同じと考えてください。

情報セキュリティーと聞くと、何だかパソコンなどITを思い浮かべてしまいますね。実際、規格の用語もIT関係を対象にした言葉が多いような気がします。しかし、情報とは、決してパソコン内に入っているものやIT関係とは限りません。例えば、試作した製品そのものが大切な情報であったり、工程そのものが大切な情報であったりするのです。ですから、御社にとって大切な「情報資産」とは何かをきっちり押さ得ることが肝心です。そして、リスクの分析・評価をし、そのリスクを低減するための対策を決定して宣言することがISO27001情報セキュリティーの考え方です。

※規格要求事項の用語を自社の情報資産に置き換えて解釈するとすっきりします。

ISO27001とは

今後の展望として考えられることは、先の経済産業省の情報セキュリティーガバナンスで「情報セキュリティーに対する努力を企業価値として評価する」と発表し、内閣府は第一次情報セキュリティー基本計画で、「2009年4月までには全ての企業がISO27001取得を推薦するセキュリティー対策実施」を明言しています。これを受けて今後、官公庁はもとより一般企業においても、「ISO27001認証取得」の動きが活発化することでしょう。