2024年9月2日
ISMAP-LIUにかかる費用と費用対効果を解説
ISMAP-LIUとは、政府機関等による調達リストに掲載されるために必要な認証です。対象をSaaS事業者に絞っているため、認証にかかる費用を抑えられます。
類似のISMAPの認証には3,000〜5,000万円ほど費用が発生するケースが多いですが、ISMAP-LIUだと費用が1,000〜3,000万円程度に抑えられると言われています。
2023年10月13日
ISMS(ISO27001)で抑えるべき情報資産洗い出しのたった1つのポイントは、業務フローに沿って洗い出しをすることです。
ISMSでは業務フローに沿って情報資産の洗い出しをしなければ、抜けのないリスクアセスメントができません。
情報資産とは、簡単に言うと「会社が持っている情報」です。
具体例としては、従業者の履歴書などの個人情報をはじめ、会社の決算情報やお客様との契約書などがあげられます。
またその情報そのものだけでなく、情報が保管されているPCなどの媒体やシステムなども情報資産と言えます。その他、自社の情報を保管している外部のクラウドも、自社の情報が保管されているという意味では自社の情報資産となります。
そのため、書類、電子データやハードウェアなど情報資産の形態は様々です。
万が一、その情報を漏えい、紛失してしまった場合に会社に不利益を被るものは情報資産として適切に管理をするのがよいでしょう。
情報資産に該当するものは、いくつかのカテゴリーに分けられます。
・紙情報(紙で管理している情報)
・電子データ(データで管理している情報)
・ハードウェア(データを取り扱うインターフェースとなる媒体)
・ソフトウェア(ハードウェアにインストールして利用するツール)
・クラウドサービス(外部サービス)
紙情報は、
「履歴書」「賃金台帳」「名刺」など紙媒体に情報が記載されている場合が該当します。
一番目に付く情報なので、イメージしやすいかもしれません。
電子データは、
紙情報としてアウトプットされる前に、PC上で作成するデータ等が該当します。
紙情報の元データをイメージすると分かりやすいかもしれません。
ハードウェアは、
「デスクトップPC」「ノートPC」「NAS」など、社内で取り扱う情報端末を指します。
こちらも日々取り扱う為、パッと思いつきやすいと思います。
ソフトウェアは、
「会計ソフト」「アンチウイルスソフト」などPCにインストールして使うものです。
システムという表現の方が、なじみがある方も多いかもしれません。
クラウドサービスは、
ソフトウェアと近いものですが直接インストールするものではなく、ネットワークに接続して、外部サービスを使う場合を想定しています。ストレージサービスやカレンダー、チャットツール等多岐にわたります。
情報資産の洗い出しのポイントは、まず業務フローを確認しながら洗い出しをすることです。
お仕事の受注から納品までの一連の流れを確認し、その流れの中で発生する書類やデータ、使用するシステムなどを確認していくことで情報資産は洗い出しやすくなるでしょう。
業務フローに沿って洗い出しをした後、他に自社の情報資産がないか確認する方法としては、紛失したり、漏洩したり、壊れたりしたときに困るものは何だろう?という観点で洗い出しをしてみることです。
「情報資産」で考えるとなかなか洗い出しが難しいですが、漏えいしたら会社にとって不利益を生むかもしれないといった観点で考えてみると思い浮かびやすいのではないでしょうか?
併せて、書類、データ、ソフトウエア、ハードウエア、サービスなどの分類で分けて洗い出してみるとより自社の情報資産を洗い出すことができます。
情報資産に必要な項目は、誰がその情報を利用することができるのかという資産利用の許容範囲や、社外秘情報なのか、極秘情報なのかなどの情報管理区分などがあげられます。
情報の管理区分については、どれくらい慎重に取り扱わなければならないかという観点から分類をするとよいでしょう。
情報の重要性、利用頻度、アクセス範囲など様々な項目を複合的に評価しリスク値を洗い出します。
リスクがゼロということはほぼあり得ませんが、全て対応しなければならないというものでもありません。
リスク値を洗い出した後、優先順位をつけてリスク対応(リスクを低減するための施策)を決定します。
例えば、「名刺(紙情報)」を従業員が個人ごとで管理しているとします。
管理方法を会社管理にすると意思決定した場合、スキャンデータをNASに保管する方法や、会社指定の名刺管理クラウドサービスなどに保管、紙媒体は廃棄する等、「名刺(紙情報)」を会社で保管しないという方法がリスク対応です。
他にも、給与明細を経理担当者が作成、個人にメールで送信というプロセスを実施している場合、給与管理ツールを導入して、本人がアクセスして給与明細を入手するというプロセスに変更すると経理担当者に属人化するリスクを低減することができます。
リスクアセスメント、リスク対応に関する記事も併せて参照ください。
ISMS(ISO27001)リスクアセスメントとは|手順と実施方法3選
ISMS(ISO27001)におけるセキュリティリスクへの対応(4つの思考法)
「情報資産管理台帳」とは、洗い出した情報資産を管理する為の台帳で、大まかにいうと自社の情報資産を一覧化したものです。
ISMSを運用する範囲で取り扱う全ての情報資産を洗い出し、一元管理します。
情報資産管理台帳には以下のような項目を特定します。
例)
・情報資産名 :「名刺」「ノートPC」など取り扱う情報資産を記載します
・情報資産区分:電子媒体、ソフトウェアなど2で洗い出した項目のどこに該当するかを記載します
・許容範囲 :アクセス権の範囲を明確にします。経理部、管理本部、本部長以上など
・リスク所有者:アクセス権のトップを特定します。部門管理であれば部長、極秘情報であれば社長など
・保管場所 :キャビネット、ノートPC、クラウドサーバなど情報資産の保管場所を特定します
・保管期間 :電子媒体は保管期間の定義があいまいになりがちですが、ここでは保管期間を定めます
上記以外にも他の項目を特定するケースがありますが、項目を増やしすぎても毎年の更新管理が大変になったり、見にくい資料になる可能性があるので、必要な項目だけに絞ることが重要です。
情報資産管理台帳の運用方法は、自社で決めることができますが、
一般的な方法は1年に1度、各部署で情報資産の棚卸をして更新する方法です。
新規認証タイミングであらかた情報資産を特定すると思いますが、
会社の状況は日々変わっている為、1年に1度は各部門で内容を見直しして、
新たに取り扱い始めた情報資産のリスクアセスメントが漏れないようにすることが大切です。
ISMSでは変化点管理が重要ですので、1年間で変更があった項目にリスクがあると考えると
リスク対応も決めやすくなるかもしれません。
ISMS(ISO27001)のリスク評価の実施方法については、まず資産の洗い出し、その次に機密ISMS(ISO7001)で抑えるべき情報資産の洗い出しのポイントは業務フローに沿って洗い出しをすることです。
情報資産を洗い出し、適切に管理をしていきましょう。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください