第18回 ISMS更新審査

いつもお世話になっております。情報セキュリティ担当のJです。
今回は、「ISMS更新審査」をテーマに書いてみたいと思います。

第15回のブログでもご紹介しましたが、弊社では、2008年11月にISO27001:2005年版にて、
ISMS認証を取得・運用して来ました。
予定通り、新版(ISO27001:2013年版)への移行準備が終わり、先日、認証機関による更新
及び新版への移行審査が約3日間に渡って行われました。

今回より「ISO共通テキスト」が採用され、取得企業ごとに、より独自性のある目標、管理策が
必要となり、まずは経営者へのトップインタビュー、会社としての方針の確認が行われました。

その後、前回の更新審査以降、3年の間に変化のあったリスクや改訂となった規定、管理策に
ついての再確認、各部門の責任者への面談、審査が行われました。

更新審査の中で、この3年の間に「リスクが大きく変化」した項目もあり、有用と思われる
部分をいくつかご紹介したいと思います。

【マルウェアに対する管理策】
    セキュリティ事件の多発、ランサムウェア等のデータを人質にしてしまうような、より危険な
    マルウェアの増加
金銭目的のサイバー犯罪の急増

    対応策
    セキュリティ対策の強化、パスワードの使い回し禁止、セキュリティ事件の認識、
    金銭被害の現状認識(手口など)、データのバックアップ

【事業継続(大規模災害を除く環境的脅威)】
    異常気象による災害の急増(ゲリラ豪雨、洪水、浸水、土砂崩れ等)、マルウェアによる
    よるデータの破壊(事業に必要なデータの消失)

    対応策
    建物などの周囲環境の再確認(ハザードマップや立地、施工状況の再確認など)
    コンピューターが使用不能となった場合の復旧方法の確認

【クラウドサービス】
    提供サービスの停止、事業者の倒産、サービスの終了、障害によるデータの消失
    サービス全体への不正アクセスによる障害等のリスク、情報漏洩

    対応策
    データの定期的なバックアップ、データそのものの暗号化など

ますますITへの依存度が高くなる中で、データの可用性・保全などの事業継続に関わる部分の
リスクが変化して来ていると思います。

これは企業の例ですが、家庭でもデジカメ画像や、子供の動画(ムービー)など、すべてが「データ化」
されてしまったため、故障や被災、マルウェアによりすべてのデータが失われてしまうようなケースも
増えております。企業だけでなく、皆様のご家庭でも何かの参考になれば幸いです。

次回は、「狙われるオープンソース」をテーマに書いてみたいと思います。

情報セキュリティ管理者:J

お問い合わせ方法について

お電話・FAXでのお問い合わせ

024-963-2150 024-959-1111
受付時間 9:00~18:00(土・日・祝祭日、弊社規定の休業日を除きます)

オンラインからのお問い合わせ