Nov 22, 2024
デジタル化のスピードが加速し、今やITシステムやネットワークは社会インフラとして不可欠なものとなる一方で、外部からのサイバー攻撃やランサムウェアなどによる被害・影響も年々増加しています。
サイバーセキュリティに関する問題が引き起こす経済的損失について、様々な組織が調査・分析を公表していますが、例えば、トレンドマイクロ社が実施した調査によれば、日本では2021年度1年間で発生したセキュリティインシデントに起因した1組織あたり年間平均被害額は、約3億2,850万円になると算出されています。企業にとって、このような脅威に対して適切にリスクアセスメントを実施して、総合的な情報セキュリティを確保するための一つの手段として、情報セキュリティマネジメントシステム(ISMS)の構築・運用が避けて通れない必須事項となってきています。
ISMSとは、個別の問題毎の技術対策を決定し、実行することだけでなく、企業のマネジメントの一部として、自らのリスクアセスメントにより必要なセキュリティレベルを決め、リスクマネジメントプロセスを適用し、情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理することによって、セキュリティインシデントの発生リスクを低減し、また、利害関係者への信頼を与えることにあります。
情報セキュリティマネジメントシステム(ISMS)とプライバシーマーク(Pマーク)の違いは?
- 最大の違いは、保護対象となる情報の違いになります。 ISMS は、認証範囲内の全情報資産を保護対象にすることができますが、P マークの保護対象は個人情報だけが対象となります。
- 適用される規格が異なります。 ISMSは、国際規格であるISO/IEC 27001が適用される規格となりますが、Pマークは、国内産業規格であるJIS Q 15001が適用される規格となります。
- 認証制度が異なります。 ISMSは、国際規格に基づく認証となり、IAF加盟の認定機関(ノルウェー認定協会や日本適合性認定協会など)により認証機関として認定された機関により認証が行われるグローバル認証制度となり、日本だけではなく海外でも活用が可能となります。一方、Pマークは、日本独自の認証制度であり、一般財団法人日本情報経済社会推進協会(JIPDEC)により指定された審査機関が審査を行い、マークを付与しています。
- ISMSは、情報資産が多岐に渡るBtoB取引を行う組織で取得される傾向が高く、Pマークは、個人情報を多く取り扱うBtoC取引を行う組織で取得される傾向が高くなっています。
ISMS導入のメリットは?
ISMSの導入におけるメリットは、社内的なメリットと対外的なメリットに分けて考えることができます。
【社内的メリット】
- 自社の情報資産の整理が可能となる
- 情報セキュリティリスクの特定と対策が可能となる
- セキュリティインシデントのリスク低減が可能となる
- 社員の意識とモラルの向上に繋がる
【対外的メリット】
- 情報セキュリティに対する説明責任を果たすことが可能となる
- 官公庁や大手企業、海外企業との取引条件への対応となる
- IPOの準備に係る工数の削減が可能となる
Nemkoが提供するサービスは?
Nemkoは、ノルウェー認定協会に認定されたISO/IEC 27001認証機関として、情報セキュリティマネジメントシステムの審査、認証サービスを提供しています。
また、情報セキュリティマネジメントシステムの認証に加え、企業が設計・製造・販売される電気機器等のサイバーセキュリティ、製品安全評価・試験・認証など幅広いサービスを提供しています。
情報セキュリティマネジメントシステムの認証に関するご質問、ご相談は、Nemko Japan MS認証部までお問い合わせください。