ISMSを取得するメリットは?

ISMSを認証取得することで対外的に情報セキュリティがしっかりした企業だとお墨付きを得ることができます。
ISMS認証取得が入札条件
ISMS認証取得が入札条件

また官公庁では、ホスティングサービスを委託するデーターセンターの入札条件にプライバシーマークとISMSの認証取得を二つとも条件にしている場合があり、この場合は取得していないと入札に参加できません。

また調査した個人票を入力するような業務を委託する場合、委託業者の条件としてプライバシーマーク、またはISMSの認証取得が必須になりつつあります。

経済産業省が特定システムオペレーション企業というのを認定していますが、これはシステムオペレーションサービスを的確に遂行できる企業というお墨付きです。

経済産業省が安全対策、経理的基礎、技術的能力の実績を備えている企業を有効期間3年で認定する制度で、特定システムオペレーション企業の申請をする場合、ISMSの認証取得が必要条件になっています。

入札条件以外では、ISMSによって総合的マネジメントの視点から情報資産を守るためにPDCAサイクルがまわるマネジメント・システムを社内に構築できるところにメリットがあります。

またリスクアセスメントを行うことで、守るべき情報資産が何であるのかを明確にするだけでもメリットがあります。

リスクアセスメントって何?

リスクアセスメントとは、情報資産のリスクを分析し、手順に従いリスク評価することです。
鍵がない脆弱性
鍵がない脆弱性

『リスク分析』とは情報資産にとって発生しては困る事象(脅威)と固有の弱点(脆弱性)を明確にすることで、どのような脅威が存在するのか、その脅威はどの程度、発生する可能性があるのか、脅威が顕在化したときにどの程度の影響を受けるのか分析することです。

脆弱性と脅威には因果関係があり、例えば『部屋に鍵のついたドアや窓がない』という脆弱性があれば、『盗難』という脅威が発生します。

また『適切なアクセスコントロールがない』という脆弱性があれば、『なりすまし、改竄、情報漏洩』の脅威が発生します。

リスク分析をした後、『リスク評価』ではリスク分析で算定したリスクをリスク評価基準と比較し、リスクの重大さを決定していきます。

リスクの重大さにあわせて情報資産を効率的に保護する対策をうっていくことになります。つまりどのリスクから手を打てばよいか優先順位をつけることになります。

ISMSは全社で取らなくてもOK? >>