ISO27001(ISMS)とは?
情報セキュリティマネジメントに対する第三者適合性評価制度(ISMS適合性評価制度)の基準となる規格のことで、いかにして企業の情報を守り、効果的に活用できる社内体制を構築するか、を目的としています。個別の問題ごとの技術対策に加え、組織のマネジメントとして自分たちの手でリスクアセスメントを行い、必要なセキュリティレベルを決め、プランを持ち、資源配分を行い、システムを運用する、情報セキュリティ対策の管理の仕組みについて規定しています。
ISO20071の規格は、その仕組みのために必要な経営資源(組織・人材・設備・方針・目的・制度・手続き・文書・記録など)とその仕組みの構築方法、運用方法などをPDCAモデルで示しています。
ここ数年、Winny(ウィニー)などのファイル交換ソフトによる顧客情報の流出やシステム障害による取引停止などの事件が相次ぎ、情報セキュリティへの関心は高まっています。官庁・自治体などによる情報セキュリティ要求の高度化、大手ITベンダーなど取引先からの圧力の増大が目立つようになりました。
さらに、経済産業省は情報セキュリティに対する企業の取り組みを企業価値として評価することを発表しました。これらを受けて今後は、官公庁はもとより一般企業においてもISO27001認証取得を取引条件とする動きが加速すると予測されています。