弊社が認証を得ているISMS とは
suffix_bpo 管理部
こんにちは!
今回2回目のブログを書くことになりました。
Kと申します!
本日は弊社が認証を得ている「ISMS」について書きたいと思います!
【ISMSとは?】
「Information Security Management System」の略で、組織の情報セキュリティを管理するための仕組みを指します。
ISMSとは、情報セキュリティマネジメントの認証規格です。
日本版の認証規格がJISQ:27001、国際規格として同じ価値を持つ認証がISO27001です。
【ISMSの目的】
世界的に増えつつあるサイバー攻撃(標的型攻撃やコンピュータウイルスなど)による機密情報の流出やシステムダウンを防ぐため、企業の総合的な情報セキュリティを確保・維持・管理することです。 ISMSが定義する情報セキュリティは「機密性」「完全性」「可用性」の3要素です。
3要素についてなにを意味するのかご紹介いたします。
〈機密性〉
機密性とは情報が漏えい・暴露を受けないように管理をすることを意味しています。
具体的な管理策は、例えば、不正アクセス対策が代表例です。
不正アクセスを受けないためには、情報にアクセスできる人間を最小限に制限するという対策が必要です。
[技術的管理策]
アクセスコントロールができるソフトウェアを使用する・ID、パスワードの変更を一定期間ごとに要求する・侵入を検知する装置をネットワークに付けるなど
[物理的管理策]
机の上に機密情報を放置させないようにモニタリングする・セキュリティカードを使って、立ち入りができる区域や部屋を限定する・施錠を必要なところに施して、紙情報の暴露を避けるなど
証規格に適合するには、機密性を保つために以上のような管理策が必要とされます。
〈完全性〉
完全性は、情報が正確・最新で利用に耐える状態でないと、役に立たないという当たり前のことを意味しているものです。
完全性は大きく2つに分けられます。
[物理的完全性]
おおむね情報が正確・最新・欠けていることがないことを意味します。
[論理的完全性]
情報を保管するサーバやコンピュータ・クラウドサービスでの位置情報・ドメイン情報等、論理的な制御がついていることを意味しています。
〈可用性〉
可用性とは、情報を使いたいときに使える状態にしておくことです。
可用性の確保についても、技術的・物理的な管理策と、復旧のための手順書、業務の切り替えのマニュアルなど文書による人的・組織的管理策が必要となります。
上記の3つは、「情報セキュリティの3要件」と呼ばれ、事業者内における情報セキュリティ対策を徹底する基本となります。3要件を満たすことで、ISO27001を取得することが可能となります。
ISO27001は、認証取得するにあたって様々な改善やマニュアルの作成、セキュリティの目標設定する必要があり、それらを実行し外部機関により審査されます。
つまり、ISO27001は「やっているふり」での取得ができないのです。ISO27001を取得できているということは、方針や実施方法が具体的に定まっており日常業務の中でも運用されている証明になります。
ですから、弊社のセキュリティに関しましてはお客様に胸を張ってご提供できます!
弊社BPOサービスの内容についてご興味がありましたら下記より詳細をご確認くださいませ。
企業様に最適なBPOサービスをご提供ができますように、誠心誠意努めてまいりますのでまずはお気軽にご相談いただけますと幸いです。