SERVICE
一例をあげます。ISMSにおけるリスクアセスメントは単なる「罰ゲーム」でした。情報資産をCIA評価し、それぞれに対して、脅威と脆弱性の評価をおこなう。それらを総合しリスク値を算出する。
すると下図のような巨大なスプレッドシートが出来上がるわけですが、ここから気づきを得られる企業は極めて少ない状況でした。このように作業工数の割に何の効果を生まない施策を我々は「罰ゲーム」と読んでいます。
数年前になりますが、2013年10月、ISO27001が改正されました。これに伴いマネジメントシステムの自由度が高まり、企業の実態にあった仕組みの構築が可能となりました。
私たちは、規格改正を契機にISMSリノベーションに取り組み始めました。審査のための運用をおこなわない、全ての管理策が有機的に繋がり、効果を生み出すためのISMS。
コンサルティングを通じて、クライアント企業を「罰ゲーム」から救い出すのが、当社の使命だと考えています。
私たちのコンサルティングは「その企業にとって、なぜ情報セキュリティが必要なのか」というところから入っていきます。情報セキュリティに対する価値観や目的を形成し、経営層や関係者と共有します。
その上で、組織外部の変化(社会動向、法令改正等のマクロ分析)、組織内部の変化と課題などを踏まえ、情報セキュリティ活動の組み立て、目標設定(総称して「セキュリティ戦略」と呼びます)をおこなうのです。リスクアセスメント、パフォーマンス評価、マネジメントレビュー等のPDCAの核となる施策を、セキュリティ戦略により繋いでいき、有機的なPDCAが実現します。
当社は、セキュリティ技術セクションという技術専門のチームを有しています。
セキュリティに関する技術的な課題に直面した場合、あるいはシステムリプレイスに伴いセキュリティ対策の見直しが必要になった場合、当社は具体的なソリューションを提案し、お客様にあったサービス、ベンダーの採用を支援します。ドメインコントローラーのポリシーをどのように設定すべきか、監視ポリシーをどう組み立てるか、など技術的な側面からお客様の問題を解決します。
当社は、様々な審査機関と連携することで、最新の審査動向をキャッチしています。ISMSに対する意見交換を各審査機関の主要な審査員とおこない、業界全体の啓蒙にも取り組んでいます。また、お客様に最適な審査機関を提案することで、確実な認証取得と組織にあったセキュリティ施策の導入を実現します。
一般的なプロジェクトの流れ
ISO27001(ISMS)に関係する管理策の解説や方法論をご紹介します。
これまでに当社が取り組んできた問題解決の事例をご紹介します。