こんな企業へ
IT関係の企業でセキュリティ対応をしなければならないと考えている
Webなどのデザイン開発を行っている
発注元から要請されている
個人情報を情報システムで取り扱っている
お客様先からデータなどを預かっている
コンサルティング概要
もしもの時に対応できる組織作りが必要です
対外的な安心感が必要です
本格的なセキュリティ対応が必要です
情報漏えいなどの不安を取り除く必要があります
昨今の情報漏洩事件を他山の石としないためにいかがですか?
改訂版への対応として本格的なリスクマネジメントの見直しから、
まずは差分レベルでの対応まで可能です

 新規格ではISO31000リスクマネジメント規格がベースに取り入れられています。
 このリスクマネジメントは今後、ISO14001、ISO9001といった他のマネジメントシステム改訂でも採用されます。
 なによりも、事業に対するリスクを整理する上でこの考え方を取り入れるのは非常に重要なことです。
※ISO31000でのリスクの定義は、「目的に対する不確かさ」ということで、必ずしもマイナス面だけではありません。ISO27001ではプラス側面を「機会」という言葉で表現しています。
※リスクの考え方が目的に対する不確かさである以上、目的をハッキリさせなければなりません。これが改訂版のもっとも大きな追加となっている「セキュリティ目的」になります。


ISO31000:リスクマネジメント概念図
リスクマネジメント図

 事業のリスクを洗い出し、そのリスクの中から情報セキュリティリスク(情報への機密性、可用性、完全性に対するリスク=不確かさ)を把握することになります。
ISMS取得
※新しい規格では、従来の「脅威」「脆弱性」という言葉はなくなりました。

 洗い出したリスクに対する「自社の管理策」を構築し、その「自社の管理策」を付属書と比較することが必要になります。
※前規格では、付属書の管理策から選択する方式でしたが、今回の規格では自ら管理策を構築し、それが付属書と比較することによりより自社に適切な管理が実現することになります。
付属書の管理策が該当しない場合は、その理由を明確にします。