ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

ISMS(ISO27001)ソフトウェア制限はどこまで必要? インストール制限を3つのポイントで解説

スタッフ写真
スタッフ写真

2022年9月2日

ISMS(ISO27001)ソフトウェア制限はどこまで必要? インストール制限を3つのポイントで解説

ISMS(ISO27001)を取得している企業は、インストールしているソフトウェアの導入に対し、脆弱性があることを認識しなければいけません。
ISMS(ISO27001)の要求事項でソフトウェアの導入を管理するためのルールを明確にすることが求められており、インストールするにあたり制限すべきポイントは、①セキュリティアップデート、②危険なソフトウェアは利用しない、③導入する前に許可を取るの3つとなります。

1.ソフトウェアとは

ソフトウェアとは、パソコンに命令を出すためのプログラムのことです。

そのソフトウェアでも、OS(オペレーション・システム)とアプリケーションソフトの大きく2つに分かれています。

 

OS(オペレーション・システム)

ハードウェアの操作するシステムのことです。

例)Windows、Mac OS

 

アプリケーションソフト

特定の機能に特化したソフトウェアのことです。

アプリケーションソフトはインストールまたはネットに接続し使えるクラウドのソフトウェアもあります。

例)勤怠管理ソフト、ゲームソフト、給与計算ソフト

 

2.ソフトウェアの導入

ISMS(ISO27001)では規格要求付属書Aの中では、A.12.5.1運用システムに関わるソフトウェア導入という要求事項でソフトウェアの導入を管理するためのルールを明確にすることが求められています。

従業員がなんでもかんでもソフトウェアを導入することは不正アクセスなどのリスクにつながるので、ソフトウェアを導入できないようにルールをつくることが必要です。

例)システム管理者の承認が得られたソフトウェアを導入する

 

会社のリスクを低減するためにもまずは会社の中でのルールをつくりましょう。

3.インストール制限3つのポイント

ソフトウェアを導入する上で、インストールの制限をすべきポイントをご紹介します。

 

(1)セキュリティアップデート

アップデートの情報を定期的に確認しアップデートすることでバグやぜい弱性などが緩和されます。

そのためアップデート情報を定期的に確認することが望ましいとされています。

 

また、ソフトウェアによっては自動アップデートなどが設定できるものもあるので、ご自身や会社で設定していると自動でアップデートされるのでおすすめです。

 

(2)危険なソフトウェアは利用しない

ネットの情報や信頼性がないソフトウェアは不正アクセスなどのリスクがあります。

 

まずはソフトウェアを導入する前にしっかりネットの情報などを調べてみたり、

周りで導入している人がいないかなどの確認をしてからソフトウェアを導入してください。

 

(3)導入する前に許可を取る

ソフトウェアを導入する際は、上司やシステム管理者等の許可を取りましょう。

 

【(2)危険なソフトウェアは利用しない】で記載した通り、

個人の確認だけではなく第三者の確認を取ることでリスクの低減につながります。

個人で判断するのではなく会社に許可をもらうことで安全にソフトウェアを導入することができます。

 

4.ソフトウェアのバックアップはどうしたらいいの?

ISMS(ISO27001)では規格要求付属書Aの中でA12.3.1ではソフトウェアの定期的なバックアップが求められています。

万が一データの損失やシステムの停止は営業停止や取引停止につながる可能性があります。

 

定期的にバックアップを取り、データが損失やシステムが停止しても営業停止にならないような仕組みをつくりましょう。

 

5.まとめ

ISMS(ISO27001)に関係なく、ソフトウェアの管理というのは企業経営における重要な役割です。

 

従業員がなんでもかんでもソフトウェアを導入することは不正アクセスなどのリスクにつながるので、

ソフトウェアを導入できないようにルールをつくることが必要です。

万が一データの損失やシステムの停止は営業停止や取引停止につながる可能性があるので、定期的にバックアップを取り、データが損失やシステムが停止しても営業停止にならないような仕組みをつくりましょう。

 

ソフトウェアが充実して便利になってきた世の中だからこそ何気ないことにリスクが潜んでいることを認識していただく機会になれば幸いです。

 

ISO・Pマーク認証更新でお悩みの方へ

Pマークについてお悩み、ご質問がある方はこちら

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

\SNSでシェアしてね/

クリップボードにコピーしました

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。