ISO 27001とは何か、なぜ気にする必要があるのか。
工場のデータはクラウドに、マーケティング戦略はローカルサーバーに、請求書の処理はERPシステムに、従業員のデータは人事部の金庫に、そしてCEOの受信箱には大企業とのNDAが入っているなど、あなたの会社は保護が必要な貴重な情報をたくさん扱っています。
マーケティングプランがフォーラムに投稿されたり、ERPシステムが何時間も停止したり、銀行口座に不正アクセスされたりしたら困りますよね?
今日は、ISO 27001がどのように機能し、どのように情報資産を保護することができるのかについてお話します。
ISO27001とは何ですか?
国際標準化機構(International Organization for Standardization)は、専門家を集めて市場向けの国際規格を策定する非政府の国際組織である。23,000以上の規格が発行されているISOの中でも、ISO 27001は認証の世界で非常に重要な役割を果たしています。
以前に発表されたISO-surveyによると、世界のISO 27001認証は2006年以降、毎年およそ20%ずつ増加しています。 2018年には約60,000サイトがISO-27001認証を取得しています。
では、それは何か?
ISO 27001:2013は、情報セキュリティマネジメントシステム(ISMS)を構築、維持、改善するための要求事項を定義しています。この規格は、ISMSを管理するためのルールとプロセスを提供しています。
- 情報セキュリティ・マネージャーなどの重要な役割の定義
- アセットの構造化されたリスク管理手法
- 内部情報セキュリティ指示書の評価・作成プロセス
- ISMSサーベイランスのためのツール - 監査、侵入テスト、KPIモニタリングなど。
- セキュリティ問題を扱う基準(インシデント管理)
- トレーニングと意識向上のための要件
- セキュリティ向上のための推奨事項
最後の1つは重要です!ISMSの要求事項だけでなく、コントロールと呼ばれる情報セキュリティアクションのTo-Doリストも入手できます。
ISO 27001:2013の附属書Aには、14のカテゴリーに分類された114のコントロールのリストがあります。これらの管理策は、基本的なセキュリティレベルを確立するもので、これを基準にして、業務、建物、サプライヤーなどに挑戦することができます。
そして何よりも、あなたの会社のIT部門よりもはるかに多くをカバーしています。これらの対策を実施すれば、外部からの攻撃に対するあらゆるギャップを埋めることができます。
- 情報セキュリティポリシー
- 情報セキュリティの組織
- 人的資源の確保
- アセットマネジメント
- アクセスコントロール
- 暗号技術
- 物理的・環境的セキュリティ
- 動作保証
- 通信セキュリティ
- システムの取得・開発・保守
- サプライヤーとの関係
- 情報セキュリティのインシデント管理
- 事業継続管理の情報セキュリティ
- コンプライアンス
最後に、ISO 27001は「何をすべきか」だけを示しており、「どのようにすべきか」は示していないことに留意してください。規格の要求事項を自社のニーズやリソースに合わせて調整する必要があります。
例えば、当社はISO-27001認証を取得しているAmazon Web Services上でNetilionをホストしています。Netilionがサービスや機能を提供する際には、安全な通信チャネルを使用しています。そして、それらについても認証を受けようとしています。
なぜ認証が重要なのか?
認証を取得すると、企業は規格の要求事項を満たしていることを証明することができます。独立した認証機関は、規格に照らして企業を監査し、要求事項をすべて満たしている場合にのみ認証を行います。この機関は、企業から独立しているだけでなく、監査の質を維持するために国家認定機関によって規制されています。
同様に、サプライヤーを選択して仕事をする際にも、認証が役立ちます。もちろん、選択肢はたくさんあります。
- 聞いてみてください。情報を得るための最も簡単な方法は、それを求めることです。評判の良いサプライヤーは、かなり信頼できる回答をしてくれるはずですが、この方法には保証がほとんどありません。
- 認定された認証機関に証明書を依頼する。認証機関は少なくとも年1回、サプライヤーを審査し、認証はその企業が規格に適合していることを約束するものである。
- 目を閉じて、ベストを尽くす。この方法の前に、他のすべてのアプローチをお勧めします。
さらなる考察
ここまで来れば、情報セキュリティに関心があるのは当然ですから、ISO 27001規格に適合したシステムの導入を検討してもいいでしょう。認証を受けた企業の多くは、その情報をウェブサイトに掲載しており、通常はトップページに掲載しています。
前回のブログ記事でご紹介したように、Netilionは、その安全なプラットフォームと最先端のセキュリティプロトコルにより、EuroCloudのStar Audit Assessmentから4つ星の評価を受けています。しかし、ISO 27001についてはどうでしょうか?
Netilionの親会社であるEndress+Hauser Process Solutions AGは、要求事項を検討し、成功することを期待して申請しました。NetilionのISO-27001証明書の発行にご期待ください。
つまり、今はISシステムの研究をする良い機会なのです。Netilionにはフリートライアルがあるので、いくつか試してみるといいでしょう。そして、それぞれのシステムがどのような機能を持っているのか、また、あなたの会社にとってどの程度有効なのかを確認してください。
そしていつものように、この記事が気に入ったら、#Netilionを使ってソーシャルメディアでシェアしてください。
安全に過ごしてください。