ISO/IEC27001(ISMS)及びISO/IEC27017認証取得支援サービス
クラウドサービスを含む情報セキュリティマネジメントシステムの構築支援
近年の情報セキュリティ事故と影響
近年、ウィルス・ランサムウェアの感染などによる情報漏洩の事件が相次いで発生し、企業が被害を受けるケースは少なくありません。
これらの事件の影響は、企業にとって社会的信用の低下にとどまらず、多額の損害賠償請求や行政処分といった様々な影響を及ぼします。
こうした情報セキュリティインシデントは、主に企業の情報に対する管理不足やセキュリティ対策不足に起因しています。
クラウドサービスの利用に起因するITリスク
クラウドサービスを利用している企業の割合は上昇傾向が続き、業務に不可欠なツールとなりつつあります。その一方で、SaaSのアクセス権限設定ミスによる情報流出やIaaSのサーバが停止による決済系、社内システム等広範なサービスが停止など、クラウドサービスに関わる情報セキュリティインシデントが多発しています。
クラウドサービスは大量かつ多様な利用者データをクラウドデータセンタに集約する可能性があり、リソースの共有による性能低下や脆弱なセキュリティ設定を狙ったサイバー攻撃などのセキュリティ上のリスクがあります。
クラウドサービスを含む情報セキュリティマネジメントシステムの必要性
これらの事故を防止するには、ファイアーウォールやデータ暗号化等の技術的な対策だけでは不十分であり、リスク分析と費用対効果を考慮した対策立案、環境変化に応じた対策の継続的な見直しが必要です。
情報セキュリティ対応を効果的に進めるには、一過性の技術的な対策の推進ではなく、継続的なマネジメントシステムの構築が重要な要因となります。
ISO/IEC27017の概要
ISO/IEC27017は、クラウドサービス特有のセキュリティリスクに対応した管理策を提供しています。本規格は、従来からのISO/IEC27001(ISMS)をベースに、クラウドサービスにおいて必要となる追加事項を規定したものです。
ISO/IEC27017の管理策の適用対象は、クラウド利用企業およびクラウド事業者です。
ISO/IEC27001(ISMS)及びISO27017認証取得における課題
情報セキュリティ及びクラウドサービスのリスクをどのように洗い出し、評価・管理するかは多くの組織で悩みやすいポイントです。
また、組織全体で情報セキュリティやクラウドサービスの適切な管理体制を業務やシステム運用に適用すること、既存システムや情報セキュリティ対策の仕組みと整合性を取ることも課題となります。
今後も強化が予想されるサイバーセキュリティ関連法規制やガイドラインへの対応も必要であり、情報セキュリティ対策ツール自体も急速に発展しています。最新の技術動向や規制要件を常に把握し、組織の管理体制や運用プロセスを継続的に更新する姿勢が求められます。
ISO/IEC27001(ISMS)認証取得支援サービス
ISO/IEC27001(ISMS)認証取得支援サービスでは、企業の情報セキュリティ対応の状況に応じて、マネジメントシステムの構築を支援するサービスを提供しています。
また、認証取得という機会を活用し、マネジメントシステム全体の見直しにも取り組むことで、企業のマネジメントシステムの運用業務の効率化につなげることも可能です。
ISO/IEC27017認証取得支援サービス
ISO/IEC27017認証取得支援サービスでは、貴社の情報セキュリティ対応の状況に応じて、クラウドサービス特有のセキュリティリスクに対応した管理策の構築を支援するサービスを提供しています。
ISO/IEC27001(ISMS)認証取得支援のアプローチ
デロイト トーマツでは、ISO/IEC27001(ISMS)認証取得に向けて、企業の取り組みへのアドバイスを行い、マネジメントシステムの構築・運用を支援します。
標準的なケースでは、ISMS構築フェーズとISMS運用フェーズを支援するプロジェクトとなります。企業の要望に応じて、各フェーズの一部のみを支援する等、個別ニーズに即したサービスの提供も可能です。
ISO/IEC27017認証取得支援のアプローチ
企業の状況に応じてサービス提供に必要な体制が組まれ、クライアントは最も効率的・効果的なアプローチでISO/IEC27017認証取得を進めることが可能となります。
デロイト トーマツのサービス提供事例
デロイト トーマツでは、情報セキュリティ、個人情報保護、内部統制構築に関する豊富な実績を有しており、これらに基づく実効性の高いサービスを提供します。
株式上場準備に伴うIT統制と整合性のとれた、情報セキュリティマネジメントシステムの構築を助言した事例もあります。
デロイト トーマツのサービス提供品質・強み
デロイト トーマツでは「セキュリティコンサルティング」と「J-SOXや上場準備」の双方を高いクオリティで提供しています。
デロイトトーマツグループのプロフェッショナルを最大限に活用し、企業が持つ固有の課題を解決するチームを編成することも可能です。
