情報セキュリティにはISO27001(ISMS認証)という国際規格が存在します。国際規格なので、ISO27001に定められている情報セキュリティ管理体制に準拠しているかどうかを第三者機関が認定する仕組みとして「ISMS適合性評価制度」があります。この制度による認定は顧客情報を取り扱う全企業が受けることができます。
ISMSとは、Information Security Management System の頭文字をとって並べたもので、日本語では「情報セキュリティマネジメントシステム」と呼びます。 ISMS認証を取得することができたということは、情報セキュリティ対策が国際規格に準拠していることの証明なので、顧客情報や取引先の機密情報を取り扱う企業にとっては、社会的な信頼性が向上するというメリットがあります。
では、実際にISMS認証を取得するにはどのような手続きが必要なのでしょうか?
1.適用範囲を決定する
ISMS認証は会社全体を対象として受けることもできますか、特に顧客情報や機密情報、個人情報などの情報資産を主に扱う部署だけを対象として認証を受けることもできます。
2.セキュリティに対する方針を作成する
いわゆる情報セキュリティポリシーの作成です。情報セキュリティポリシーは情報資産への脅威に対して「機密性」、「完全性」、「可用性」の3つの要件を含む必要があります。
3.リスクアセスメントと実施手順を策定する
情報資産が漏洩するリスクへの対策方法とその手順を策定し、手順書として明文化します。
4.社内で教育と導入を行う
情報セキュリティポリシーや実施手順を周知徹底するために社員教育を行い、制度を導入します。
5.内部監査とマネジメントレビューを行う
社内で情報セキュリティポリシーが実施・導入されたら、内部監査を行って、有効な取り組みとして実施されているかチェックし、改善策があれば見直します。
6.審査機関による審査を受ける
内部監査が終わってから、第三者機関による審査が行われます。審査には、明文化された情報セキュリティポリシーが基準を満たしているかどうかを確認する文書審査と、実際に社内で適正に実施されているかどうかを確認する現場検査があります。
こうした手続きを経て、ISMS認証を取得することができます。 中小企業には情報セキュリティシステムの導入や、人材の育成などの予算を確保することが難しいかもしれません。
しかし、情報資産の漏洩が損害賠償の請求などの直接的な損害だけではなく、社会的な信頼の失墜といった間接的な損害をももたらすことを考えると、必要な投資として捉える必要があるでしょう。