2022年1月14日
ISMS(ISO27001)のリスク特定とは、どんなリスクがあるか見つけることです。
ISMS(ISO27001)リスク特定をする際は、情報の洗い出しから始めましょう。
リモートワークが増えた昨今、自宅のWi-Fiなどの通信環境から情報が漏洩する可能性もあります。しっかりと対策していきましょう。
1.ISMS(ISO27001)とは
情報セキュリティを管理する仕組みのことです。
情報セキュリティマネジメントシステム=Information Security Management System 頭文字を使った略称がISMS(ISO27001)です。 簡単に言うと、企業にとって大事な情報を管理し、守るためのルールを決めよう!ということです。
2.リスク特定とは
リスク特定とは、どんなところにリスクがあるのかを特定する活動を指します。
リスクの特定はあくまでもリスク管理を行うための1つにすぎません。
(1)リスク管理とは
以下3つの段階で考えていく必要があります。
第一段階「リスク特定」
第二段階「リスク分析」
第三段階「リスク評価」
リスク特定は第一段階にあり、第二段階、第三段階をする上で大事なのが情報セキュリティの構成する3つの要素(CIA)です。
(2)CIAとは
情報セキュリティの構成する3つの要素(CIA)とは以下からなります。
①機密性(Confidentiality)
②完全性(Integrity)
③可用性(Availability)
機密性、完全性、可用性は以下の認識で考えていきましょう。
①機密性=『外部に漏れない状態』
限られた人だけが情報を見れる、触れるように制限がかかっている状態
⇒IDやパスワードによる管理、ユーザーごとのアクセス権限の区別が代表的です。
②完全性=『正確かつ最新の状態』
改ざんなどから保護されていて、情報が最新な状態
⇒バックアップ体制の整備等が該当します。
③可用性=『利用可能な状態』
必要な時に必要な人が見れる、触れるよう状態
⇒リモートワークで、家から社内環境にアクセスするケースが増えてきました。
自宅から社内ネットワークに接続する際の体制整備なども求められるようになっています。
★ワンポイント
機密性ばかりを重視して、誰も見れない、触れない場所に情報を管理すると、使いたいときにすぐに使えないことになります。
また、アクセス権限を区別して管理をし、すぐに使える状態でも、改ざんされた情報では意味がない。 バランスを意識して、どこまでのリスクを許容できるかの観点で考えていきましょう。
3.リスク特定やってみた
今回は、自宅環境でのリスク特定についてご紹介します。
リモートワークも増えたので、まずは自宅にある情報の洗い出しをしてみましょう
ハード
家族の共同PC(保管場所:リビング)
Wi-Fiルータ(保管場所:リビング)
私用USB(保管場所:リビング)
ソフト
ウイルス対策ソフト(保管場所:家族の共同PC内)
エクセル(保管場所:家族の共同PC内)
ワード(保管場所:家族の共同PC内)
ZOOM(保管場所:家族の共同PC内)
勤怠管理ソフト(保管場所:家族の共同PC内)
インスタグラム(保管場所:家族の共同PC内)
ツイッター(保管場所:家族の共同PC内)
データ
お客様情報(保管場所:家族の共同PC内)
その他
印鑑(保管場所:寝室)
では次の項目で、「どの程度」のリスクなのか考えていきましょう。
4.CIAからリスクの算出
CIAについては、先ほど「2.リスク特定とは 」で説明しました。
先ほど洗い出した中から下記を1つピックアップして、CIAからリスクの算出をしてみましょう。
今回は、「お客様情報」でみていきます。
①機密性=『外部に漏れない状態のこと』
・リビングで仕事をしているため、家族等の第三者がデータを覗き見する可能性が高い
ママ友に話してしまうかも!
・娘がSNSにはまっており、家の中で写真を撮って投稿することが多い
⇒機密性×
②完全性=『正確かつ最新の状態』
・家族の共同PCなので、子供が誤ってデータをいじる可能性が高い
・デスクトップでの作業のため、バックアップを取らない
⇒完全性×
③可用性=『利用可能な状態』
・すぐにデータを触れる状態
⇒可用性◎
今の状態だと、リスクが高く、危険な状態とわかります。
5.リスクが高いものの対策
この環境では、情報が漏えいするリスクも高いため、対策を行う必要があります。
例えば、以下の対策を行うことが可能です。
①PC等のハード面について
・PCを家族用と仕事用で分ける
・仕事用PCは仕事部屋で管理し、僕しか触れないようにID・パスワードをかける
②PCを利用するルールについて
・仕事用PCを使用しない際は、鍵付きのキャビネットで保管する
・トイレの際には、ログオフする
・フォルダのルールを決め、情報を最新版管理する
③ソフト面の対策について
・ウイルス対策ソフトを自動更新で設定する
・毎日バックアップをする
一例ですが、様々な対策がありますので、リスクが許容できない場合は、対策していきましょう!
まとめ
ISMS(ISO27001)とは、情報セキュリティを管理する仕組みのことを指します。
リスク特定をする際は、情報の洗い出しから始めましょう。
情報セキュリティの構成する3つの要素(CIA)とは
①機密性(Confidentiality)、②完全性(Integrity)、③可用性(Availability)
リスクの算出する際は、CIAの観点で考えていきます。
CIAはバランスが大事です。リスクが高いとわかれば、対策を取りましょう!
「頭では理解できても、実際の業務に置き換えるとまだわからない…」というケースも多いと思います。
お困りの際は、是非コンサルタントにご相談ください。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ