情報サービス事業者にとって「情報セキュリティ」の導入は必要不可欠になっています。その一方で「情報セキュリティ」を組織に定着させるためにはマネジメントシステムの活用が有用ですが、ハードルは高いと言わざるを得ません。
ここでは、「情報セキュリティ」マネジメントシステム構築に資するガイドラインや情報セキュリティ対策ベストプラクティスなどを紹介します。
現状・背景
現在の企業や組織は、情報システムへの依存による利便性の向上と引き換えに、大きな危険性を抱え持つことになった。情報システムの停止による損失、顧客情報の漏洩(ろうえい)による企業や組織のブランドイメージの失墜など、情報セキュリティ上のリスクは、企業や組織に大きな被害や影響をもたらす。情報セキュリティに対するリスクマネジメントは重要な経営課題のひとつと考えなければならず、特に、個人情報や顧客情報などの重要情報を取り扱う場合には、これを保護することは、企業や組織にとっての社会的責務でもある。
今日、情報セキュリティ対策は、世界的にも重要な経営課題であると認識され、情報セキュリティ製品・システム評価基準(ISO/IEC15408)や情報セキュリティマネジメントシステムの認証基準(ISO/IEC27001)が、国際標準として規格化されている。情報セキュリティ対策の重要度が高まるにつれて、日本国内においても、これらの国際基準を採用する企業が増えてきている。
対象ガイドライン
(2016年10月)