ISO27001
「情報セキュリティマネジメント」のことです。
情報セキュリティマネジメント(ISMS/Information Security Management System)は企業や組織が持っている情報を「資産」として認識し、それにかかわる様々なリスクを管理することにより企業・組織の価値向上をもたらすための国際規格です。
ISMSにおいて情報セキュリティのレベルを高め維持するには、「機密性」「完全性」「可用性」という3つのマネジメントをバランスよく運用することが重要です。これらを具体的に何をするかを示したのが、国際規格のISO27001です。
では、実際に何をどのように管理するかは、次のような問題点に対して効果的なルールを作成する必要があります。
- 情報の紛失、改ざん、破棄、などデータにダメージが与えられる事
- 情報の盗難、置き忘れなどデータが社外に持ちだされる事
- ハッカーによるクラッキングなどにより業務の遂行が阻害される事
社員のモラルの問題や、悪意のある外部からの攻撃、うっかりのミスによる情報流出など、様々なケースがあります。これらを自社のリソースだけで賄おうとすると莫大な費用がかかりってしまいます。自社で管理しなければいけない情報と、自社で管理する必要のない情報に分けたうえで、そのデータにアクセスできる人の選定と、データの取り扱いルールの定義を明確化する必要があります。
それと同時に、アウトソースを的確に使う事によって安全性とコスト削減が実現できます。
審査のポイントは決められた手順が規格に合致しているか、手順が守られているかを確認します。
したがって、審査員はどの情報が重要かは判断する事なく、手順の確認になります。
あくまでも情報の重み付けは認証取得側の企業で決める事になります。