2024年11月13日
ISO27017のコンサルってどうやって選べばいいの?
ISO27017(クラウドセキュリティ認証)のコンサルを選定するポイントは、実績数、専門知識、サポート体制の3点です。
具体的には、どれだけの支援実績があるか、そして業界特有の知識があるか、書類作成など作業まで支援してもらえるのか、打ち合わせはオンライン会議か訪問かなど、自分たちの要望に合うか確認しましょう。
2021年11月16日
ISMS(ISO27001)のセキュリティリスクへの対応は、
以上、4つの方法があります。
ISMS(ISO27001)を取得している企業は、セキュリティリスクへの対応を社内に取り入れて、セキュリティを見直す必要があります。
ISMS(ISO27001)では、リスクアセスメント結果によりそれぞれのリスクに対して、どう対応していくか決めなければなりません。
セキュリティリスクとは、情報システムとそのデータについてマイナスの影響を生じる可能性を持った「リスク」です。
情報システムやそのデータを守るためには 、
という3つのことを保持することをしなければなりません。
ただし、この3つに対して必ずリスクがあります。
そのリスクの種類が、①脅威、②脆弱性です。
脅威や脆弱性に対してどう対応していくかを考えていく必要があります。
リスク低減とは、自社内や情報システムが持っている脆弱性(弱い部分)に対して、何かしらのセキュリティ対策を実施・導入することによりその発生頻度を低くさせることです。
リスク低減させることを検討する場合には、リスクの高いものから優先的に検討することになります。
このセキュリティ対策の中には、
などの種類があります。
リスク低減には実施するごとにキリが無いので優先順位をつけて、これはやっておくべき対策だという事を判断しながらやっていった方が良いでしょう。
リスク保有とは対策を行わずにリスクを受け入れるということです。
例えばリスクはあるけれども発生頻度、リスクが発生した時の影響が小さいと判断した場合がこれに良く該当します。
そのリスクを潰すことにかかる費用と対策が無いと判断した場合に「リスク保有」を取ることが多いです。
言い換えると「現状維持」するということです。
脅威や脆弱性が低いとリスクアセスメントで判断した場合は「リスク保有」としましょう。
こちらの記事もご覧ください。
リスク回避とは、発生すると予測されるリスクを回避する為に、リスクを無くしてしまおうということです。
例えば個人情報を貰って実施する業務があるとします。
その業務をするにあたって個人情報を紛失・漏洩・滅失などのリスクが存在し、その事象が起きてしまうと会社存続にまで係る事だと考えられます。
そうであるのであれば個人情報を受け取らない方法にする、そもそもその業務自体を辞めてしまおうという発想です。
リスクをあらかじめ考えることが大事ですね。
業務を行う上では必ずリスクは発生しますが限りなくリスク回避しておくことに間違いないでしょう。
リスク移転とは、リスクを別の組織(第三者)に移して、自分たちの責任範囲外にすることです。
例えば事務所内にサーバーがあるとします。
そのサーバーには地震が起きた時に潰れてしまうというリスクや盗まれるというリスクがあります。
そのリスクを移転するにはクラウドサーバーを使う等の外部委託先企業へ委託するという対応を取ります。
そうすることにより先程上げていたリスクは無くなる為、リスク移転ができたという考え方です。
今抱えているリスクを第三者へ移転することを考えて対策をしてもらえればと思います。
ISMS(ISO27001)のセキュリティリスクとは、情報システムとそのデータについてマイナスの影響を生じる可能性を持った「リスク」です。
セキュリティリスク対応として、リスク低減・リスク保有・リスク回避・リスク移転、4つの方法があります。
・リスク低減・・・
自社内や情報システムが持っている脆弱性(弱い部分)に対して、 何かしらのセキュリティ対策を実施・導入することによりその発生頻度を低くさせること
・リスク保有・・・
対策を行わずにリスクを受け入れるということ
・リスク回避・・・
発生すると予測されるリスクを回避する為に、リスクを無くしてしまおうということ
・リスク移転・・・
リスクを別の組織(第三者)に移して、自分たちの責任範囲外にすること
「頭では理解できても、実際に業務を行うとなるとよくわからない…」 というケースも多いと思います。
お困りの際は、是非無料相談でコンサルタントにご相談ください。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください