東証一部上場の総合商社の情報システム基盤を対象にISMSを取得した。
様々な事業を展開する同社への支援は、適用範囲の検討からスタートした。
結果として、期間、コスト、効果などを勘案し、情報システム基盤を対象とすることとなった。
なぜ情報システム基盤のみを対象としたのか?
同社および同社グループ企業のIT基盤はすべて親会社に集約されており、その下に様々な事業がぶら下がっている状況であった。
各事業においてオペレーションが大きく異なる中で、全社をISMSでカバーすることは業務効率を著しく下げることが想像に難くない。
そこで、基盤部分にISMSを適用することでグループ全体のセキュリティの底上げを実現することとした。
ISO 27001:2013をベースにISMSを構築することになるが、リスクアセスメントに特に力を入れた。
ISO 31000の考え方を採用し「課題ベースのリスクアセスメント」を実施した。
この手法の有効性は審査機関からも高く評価されることとなる。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ
