The article first appeared on japanindustrynews.com.
このように、我が国においては2020年の大イベントを控え、サイバーセキュリティに関する官民一体となった取り組みが加速することが予測されます。企業においてはビジネスを続ける上で、ステークホルダーや取引先、あるいは社内から、情報セキュリティに関してどの様な取り組みが期待されているのか、また何を目的とするのかを明確に把握したうえで、理解し、それを実現するために取り組んでいく必要があります。
Photo credit: Wright Studio/ Shutterstock.com
その一助として、組織における情報セキュリティマネジメントシステム(ISMS)は、従来より多くの企業が採用し取り組んでおり、なかでも国際規格「ISO/IEC 27001」の活用は、引き続き有効と考えられます。ISMSを導入することにより、組織における情報セキュリティマネジメントシステムの方針と目的の確立、リスク分析を通じて特定された組織内の情報セキュリティにかかわるリスク対策の計画、対策の実施、ならびに内部監査やマネジメントレビューなどを通じた定期的なISMSのパフォーマンスの見直しを行うことができ、これにより組織における情報セキュリティ対応の継続的な改善に役立てることができます。
また同規格の2013年版(JIS Q 27001では2014年版)では6.1.1項において、組織は「ISMSが意図した成果を達成することを確実にする」、「望ましくない影響を防止低減する」そして「継続的改善を達成する」ために対処する必要があるリスクおよび『機会』を決定しなければならないとしています。ISMSというと今まではリスク対応のみが主眼とされていましたが、現在の規格では、情報セキュリティに取り組むことによって、企業における組織運営、製品サービス提供、利害関係者との関わりに対し、プラスの側面も考慮に入れて取り組むべきとしています。これは先ほど述べた「セキュリティ対応は『投資』である」という政府のセキュリティ戦略の考えにも合致しており、今後企業はこの考えを率先して認識することにより、より有意義なISMSの運用を行うことができると考えられます。
また導入したISMSに対し、外部の第三者による審査を受けることで、それが規格の要求どおりに運営されていることを認証する制度が存在します。その制度を利用し、定期的なマネジメントシステムの評価や確認をすることで、組織のISMSが正しく有効に運営されていることを対外的にアピールすることに役立てることができます。
-続く-
Japan Industry News 2017年1月掲載記事の日本語訳です。