ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)ソフトウェア制限はどこまで必要? インストール制限を3つのポイントで解説

2022年9月2日

ISMS(ISO27001)ソフトウェア制限はどこまで必要? インストール制限を3つのポイントで解説

ISMS(ISO27001)を取得している企業は、インストールしているソフトウェアの導入に対し、脆弱性があることを認識しなければいけません。
ISMS(ISO27001)の要求事項でソフトウェアの導入を管理するためのルールを明確にすることが求められており、インストールするにあたり制限すべきポイントは、①セキュリティアップデート、②危険なソフトウェアは利用しない、③導入する前に許可を取るの3つとなります。

1.ソフトウェアとは

ソフトウェアとは、パソコンに命令を出すためのプログラムのことです。

そのソフトウェアでも、OS(オペレーション・システム)とアプリケーションソフトの大きく2つに分かれています。

 

OS(オペレーション・システム)

ハードウェアの操作するシステムのことです。

例)Windows、Mac OS

 

アプリケーションソフト

特定の機能に特化したソフトウェアのことです。

アプリケーションソフトはインストールまたはネットに接続し使えるクラウドのソフトウェアもあります。

例)勤怠管理ソフト、ゲームソフト、給与計算ソフト

 

2.ソフトウェアの導入

ISMS(ISO27001)では規格要求付属書Aの中では、A.12.5.1運用システムに関わるソフトウェア導入という要求事項でソフトウェアの導入を管理するためのルールを明確にすることが求められています。

従業員がなんでもかんでもソフトウェアを導入することは不正アクセスなどのリスクにつながるので、ソフトウェアを導入できないようにルールをつくることが必要です。

例)システム管理者の承認が得られたソフトウェアを導入する

 

会社のリスクを低減するためにもまずは会社の中でのルールをつくりましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

3.インストール制限3つのポイント

ソフトウェアを導入する上で、インストールの制限をすべきポイントをご紹介します。

 

(1)セキュリティアップデート

アップデートの情報を定期的に確認しアップデートすることでバグやぜい弱性などが緩和されます。

そのためアップデート情報を定期的に確認することが望ましいとされています。

 

また、ソフトウェアによっては自動アップデートなどが設定できるものもあるので、ご自身や会社で設定していると自動でアップデートされるのでおすすめです。

 

(2)危険なソフトウェアは利用しない

ネットの情報や信頼性がないソフトウェアは不正アクセスなどのリスクがあります。

 

まずはソフトウェアを導入する前にしっかりネットの情報などを調べてみたり、

周りで導入している人がいないかなどの確認をしてからソフトウェアを導入してください。

 

(3)導入する前に許可を取る

ソフトウェアを導入する際は、上司やシステム管理者等の許可を取りましょう。

 

【(2)危険なソフトウェアは利用しない】で記載した通り、

個人の確認だけではなく第三者の確認を取ることでリスクの低減につながります。

個人で判断するのではなく会社に許可をもらうことで安全にソフトウェアを導入することができます。

 

4.ソフトウェアのバックアップはどうしたらいいの?

ISMS(ISO27001)では規格要求付属書Aの中でA12.3.1ではソフトウェアの定期的なバックアップが求められています。

万が一データの損失やシステムの停止は営業停止や取引停止につながる可能性があります。

 

定期的にバックアップを取り、データが損失やシステムが停止しても営業停止にならないような仕組みをつくりましょう。

 

5.まとめ

ISMS(ISO27001)に関係なく、ソフトウェアの管理というのは企業経営における重要な役割です。

 

従業員がなんでもかんでもソフトウェアを導入することは不正アクセスなどのリスクにつながるので、

ソフトウェアを導入できないようにルールをつくることが必要です。

万が一データの損失やシステムの停止は営業停止や取引停止につながる可能性があるので、定期的にバックアップを取り、データが損失やシステムが停止しても営業停止にならないような仕組みをつくりましょう。

 

ソフトウェアが充実して便利になってきた世の中だからこそ何気ないことにリスクが潜んでいることを認識していただく機会になれば幸いです。

 

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。