2022年9月2日
ISMS(ISO27001)を取得している企業は、インストールしているソフトウェアの導入に対し、脆弱性があることを認識しなければいけません。
ISMS(ISO27001)の要求事項でソフトウェアの導入を管理するためのルールを明確にすることが求められており、インストールするにあたり制限すべきポイントは、①セキュリティアップデート、②危険なソフトウェアは利用しない、③導入する前に許可を取るの3つとなります。
1.ソフトウェアとは
ソフトウェアとは、パソコンに命令を出すためのプログラムのことです。
そのソフトウェアでも、OS(オペレーション・システム)とアプリケーションソフトの大きく2つに分かれています。
OS(オペレーション・システム)
ハードウェアの操作するシステムのことです。
例)Windows、Mac OS
アプリケーションソフト
特定の機能に特化したソフトウェアのことです。
アプリケーションソフトはインストールまたはネットに接続し使えるクラウドのソフトウェアもあります。
例)勤怠管理ソフト、ゲームソフト、給与計算ソフト
2.ソフトウェアの導入
ISMS(ISO27001)では規格要求付属書Aの中では、A.12.5.1運用システムに関わるソフトウェア導入という要求事項でソフトウェアの導入を管理するためのルールを明確にすることが求められています。
従業員がなんでもかんでもソフトウェアを導入することは不正アクセスなどのリスクにつながるので、ソフトウェアを導入できないようにルールをつくることが必要です。
例)システム管理者の承認が得られたソフトウェアを導入する
会社のリスクを低減するためにもまずは会社の中でのルールをつくりましょう。
3.インストール制限3つのポイント
ソフトウェアを導入する上で、インストールの制限をすべきポイントをご紹介します。
(1)セキュリティアップデート
アップデートの情報を定期的に確認しアップデートすることでバグやぜい弱性などが緩和されます。
そのためアップデート情報を定期的に確認することが望ましいとされています。
また、ソフトウェアによっては自動アップデートなどが設定できるものもあるので、ご自身や会社で設定していると自動でアップデートされるのでおすすめです。
(2)危険なソフトウェアは利用しない
ネットの情報や信頼性がないソフトウェアは不正アクセスなどのリスクがあります。
まずはソフトウェアを導入する前にしっかりネットの情報などを調べてみたり、
周りで導入している人がいないかなどの確認をしてからソフトウェアを導入してください。
(3)導入する前に許可を取る
ソフトウェアを導入する際は、上司やシステム管理者等の許可を取りましょう。
【(2)危険なソフトウェアは利用しない】で記載した通り、
個人の確認だけではなく第三者の確認を取ることでリスクの低減につながります。
個人で判断するのではなく会社に許可をもらうことで安全にソフトウェアを導入することができます。
4.ソフトウェアのバックアップはどうしたらいいの?
ISMS(ISO27001)では規格要求付属書Aの中でA12.3.1ではソフトウェアの定期的なバックアップが求められています。
万が一データの損失やシステムの停止は営業停止や取引停止につながる可能性があります。
定期的にバックアップを取り、データが損失やシステムが停止しても営業停止にならないような仕組みをつくりましょう。
5.まとめ
ISMS(ISO27001)に関係なく、ソフトウェアの管理というのは企業経営における重要な役割です。
従業員がなんでもかんでもソフトウェアを導入することは不正アクセスなどのリスクにつながるので、
ソフトウェアを導入できないようにルールをつくることが必要です。
万が一データの損失やシステムの停止は営業停止や取引停止につながる可能性があるので、定期的にバックアップを取り、データが損失やシステムが停止しても営業停止にならないような仕組みをつくりましょう。
ソフトウェアが充実して便利になってきた世の中だからこそ何気ないことにリスクが潜んでいることを認識していただく機会になれば幸いです。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ