 |
|
|
| ISO27001の規格に基づき、ISMSの構築・運用について、第三者である審査機関の審査を受け、認証を取得することは、組織にとって大きなメリットがあります。 |
|
|
 |
|
|
2002年米国企業改革法(いわゆるSOX法)の施行を受け、日本版企業改革法(J-SOX法)が日本でも2008年3月期から施行されようとしております。また、2006年5月から「新会社法」が施行されます。これらの法律の核となるものの一つに内部統制の確立があります。
例えば、ISO27001で求められている「情報セキュリティ基本方針」を発行するためには自社の業務を見直し、リスクを認識し対処方法等を明確にした上で「情報セキュリティ基本方針」が初めて出来上がります。
こういったステップを確実に行なうことが、今求められている「内部統制」の構築に繋がります。 |
|
|
 |
|
 |
|
|
ISO27001の要求事項の一つに「事業継続計画」の策定が求められています。会計原則において
企業はゴーイングコンサーン(企業継続の原則)という考えがあり、企業は今日も明日も、今年も来年も継続していくものという前提があります。
ISO27001の認証取得過程で「事業継続計画」を策定することにより、自社の今後の方向性などに自ずと目を向け、また、対応策を練ることで「リスクマネジメント」としても機能させる良い機会となります。 |
|
|
 |
 |
|
|
事業継続性を踏まえて情報の機密性・完全性・可用性を継続的に保持するシステムが確立し、総合的で、効果的なセキュリティ対策が確立され、情報セキュリティのレベルが向上します。 |
|
|
 |
|
|
ISMSの構築・運用のプロセスでは「教育」が重要な要素となってきます。ISO27001の取得、維持のプロセスの中で社員へのセキュリティ教育を通じ社員の意識が向上し、社員一人一人が情報セキュリティを守るために「やってはいけないこと。やらなければいけないこと」を明確に認識し行動するようになります。 |
|
|
 |
|
|
情報リスク(情報漏えい、改ざん、不正使用、不正アクセス、ハードやソフトのトラブルなど)を組織全体のリスクマネジメントによって低減します。情報漏えい事件の発生を未然に防止し、万が一トラブルが発生しても手順にのっとった対処方法を取ることで被害を最小限にとどめることが可能となります。 |
|
|
