ISO27001への準拠 - 本当に必要なのか?

今日の高度なテクノロジー環境では、組織はますます情報システムに依存するようになっています。
情報は、現代の企業の生命線であると広く見なされています。
その結果、これらのシステムを取り巻くセキュリティ管理が、顧客の選択における差別化要因になりつつあります。
主要なサードパーティの利害関係者を含む、ビジネスの最も機密性の高い側面の多くでデータが保持されるため、情報セキュリティの完全性はすべてのビジネス イニシアチブの焦点となっています。
したがって、情報資産の保護 (情報セキュリティ) は、基本的なコーポレート ガバナンスの責任として、物理的な資産の保護に取って代わりつつあります。
組織は、情報に対する脅威の洪水に直面しており、新しい課題がほぼ毎日発生しています。
セキュリティへの違反は、組織の運営、評判、または法令順守に深刻な影響を与える可能性があります。
これらの領域のいずれかへの損害は、短期的および長期的な収益への影響によって測定できます。
したがって、組織が情報資産を保護および保護するために適切な措置を講じる必要があることは自明です。
これは現在、準拠するための立法と規制の網と特に関連しており、企業に刑事責任を負わせ、場合によっては、適切なリスク管理と情報セキュリティ対策を実施および維持する責任を取締役に個人的に負わせています。
その場しのぎで脆弱性を見つけて修正するだけでは、もはや十分ではありません。
あらゆる組織が本当に必要とするレベルのセキュリティを実現できるのは、包括的で体系的なアプローチだけです。
今日、セキュリティ プロセスは十分に文書化され、実証されている必要があります。
そのため、もはや安全であるとは言えません。
組織は、安全であることを証明できなければなりません。
適切に行われた場合、この追加の規制監視と報告の層は、企業がセキュリティとコンプライアンス プログラムをより適切に組み合わせて、取り組みを合理化し、コストを管理し、ネットワークを安全でコンプライアンスに保つのに役立ちます。
主要なコーポレート ガバナンスの目的は、組織が適切なセキュリティを確保できるようにすることです。
事業運営におけるリスクと報酬のバランスを保つために、情報セキュリティ要件は、セキュリティ リスクの体系的な評価によって特定されるべきであり、リスク管理への支出は、セキュリティの失敗から生じる可能性が高い事業への損害とのバランスを取る必要があります。
最も実用的で効果的な方法政策立案者が情報セキュリティのリスクと義務を処理するためには、ISO/IEC 27001:2005 に準拠していると独立して認証できる情報セキュリティ ポリシーと情報セキュリティ マネジメント システム (ISMS) を採用して実装する必要があります。
この規格は、情報セキュリティの管理のために独自に開発された唯一のフレームワークを提供します。
標準への準拠は、それ自体が法的義務から免除されるわけではありませんが、経営陣が効果的な IT ガバナンスのベスト プラクティスを実施することを明確に示しています。
この体系的かつ包括的な方法で管理されたセキュリティ リスクは、国際的なベスト プラクティス標準への準拠を通じて、組織の競争上の優位性を獲得するのに役立ちます。
ISO27001 への認証は、セキュリティ違反の後に必要となる潜在的な法的防御の一部を形成するのにも役立ちます。
そして会計。
SOX は、財務上の不正行為や会計上の開示を防ぐのに役立ちます。
米国に上場しているすべての企業は、SOX 規制を順守する必要があります。
o グラム リーチ ブライリー法 (GLBA) は、金融機関に顧客データを保護し、プライバシー通知を提供することを義務付けています。
銀行と金融機関は GLBA に従う必要があります。
o 健康保険の携行性と説明責任に関する法律 (HIPAA) は、医療機関に個人の健康情報のプライバシーを確保することを要求しています。
病院、医療センター、および患者の医療記録を扱う企業は、HIPAA に準拠する必要があります。
o Payment Card Industry (PCI) は、カード所有者のアカウント情報を含む情報システムとメディアを保護する方法を指定し、権限のない第三者によるアクセスまたは開示を防ぎます。
PCI は、不要なデータの効果的な削除も対象としています。
クレジット カード所有者のデータを保存、処理、送信する企業は、PCI に従う必要があります。
COBIT は IT ガバナンス フレームワークであり、管理者が管理要件、技術的問題、およびビジネス リスクの間のギャップを埋めることを可能にするサポート ツールセットです。
COBIT を使用すると、組織全体で IT コントロールに関する明確なポリシーの策定と優れた実践が可能になります。
COBIT は規制遵守を強調し、組織が IT から得られる価値を高めるのを支援し、COBIT フレームワークの調整を可能にし、実装を簡素化します。
情報セキュリティに対するリスク評価ベースのアプローチを提供します。
それでもなお、体系的、体系的、包括的にリスク評価を行うには、適切なソフトウェア ツールが必要です。
リスクの脅威と脆弱性の適切なデータベースを含むこのようなツールを使用せずに、約 4 台以上のワークステーションを持つ組織に対して有用なリスク評価を実行および維持することは、事実上不可能です。
これは、リスク評価が複雑でデータが豊富なプロセスであるためです。
また、組織の規模に関係なく、プロジェクトを効果的に実施するための唯一の実際的な方法は、ISMS の範囲内のすべての資産の詳細を含むデータベースを作成し、各資産にその (複数の) 詳細をリンクすることです。
) 脅威と (複数の) 脆弱性、およびそれらの可能性と結果として生じる影響、および資産の所有権とその機密分類の詳細。
脅威と脆弱性の既存のデータベースを使用すると、リスク評価プロセスが非常に簡単になります。
データベースには、リスク評価の結果として下された管理決定の詳細も含まれている必要があるため、ISMS 内の各資産に対してどのような管理が実施されているかを一目で簡単に確認できます。
ある程度、ISMS を実行するために選択されたソフトウェア ツールは、リスク評価プロセスを自動化し、適用宣言を生成する必要があります。
また、ユーザーが組織の情報システムに対して徹底的かつ包括的なセキュリティ監査を実行することを奨励する必要があります。
選択したソフトウェアは、容易に比較可能で再現可能なリスク評価結果を生成する必要があります。
組織が ISO27001 準拠のリスク評価を迅速かつ簡単に実行できるように開発されたツールの 1 つは、ISMS ツール vsRisk(TM) - 決定版 ISO27001: 2005 です。
-準拠した情報セキュリティ リスク評価ツール。
リスク評価を行うプロセスを簡素化および加速するためのウィザードベースのアプローチを備えています。
脅威と脆弱性の資産ごとの識別。
このツールは、リスクに対処するための追加の制御と、統合された脅威および脆弱性データベースを簡単にインポートします。
これらのデータベースは、利用可能な最新の状態になるように継続的に更新されます。
vsRisk(TM) は、機能性、使いやすさ、費用対効果の点で、ISO27001 の要件に準拠しているため、市場で最も完全な ISMS ソフトウェア ツールです。
効果的なリスク管理は、継続的な Plan-Do-Check-Act- です。
これは、リスク評価を計画された間隔で定期的に再検討し、ビジネス環境の変化、規制機関、および残存リスクの見直しを考慮に入れる必要があることを意味します。
ただし、ISMS 実装の最初のリソース集約的なフェーズに続いて、組織は ISMS の後続のレビューがはるかに労働集約的でなく、適切なソフトウェア ツールの助けを借りて比較的簡単に維持されることに気付くはずです。
* vsRisk(TM) も一部として見つけることができますNo 3 Comprehensive ISO 27001 ISMS Toolkit は、ISO27001 プロジェクトを加速し、ISO27001 準拠の情報セキュリティ管理システム (ISMS) を開発しようとしている組織にとって必要不可欠です。
Chris Hanwell は、情報セキュリティの書籍、ツール、トレーニング、およびコンサルティングのワンストップ ショップである 27001.com (itgovernance.co.uk) の製品およびサービス エグゼクティブです。
/194972

日野自動車データ不正 国交省に再発防止策提出 役員処分も発表 - nhk.or.jp
日野自動車データ不正 国交省に再発防止策提出 役員処分も発表  nhk.or.jp「お立ち台に上がる」衆目の前での叱責…日野不正の一因は「パワハラ」、役員一部辞任へ  読売新聞オンラインエンジン不正で経営陣処分 日野自動車社長一問一答  日本経済新聞日野自動車社長「経営責任を重く受け止め猛省」 改ざん問題で会見(毎日新聞) - Yahoo!ニュース  Yahoo!ニュース日野自動車の「認証不正問題への対応」公表について | コーポレート | グローバルニュースルーム  トヨタ自動車Google ニュースですべての記事を見る(続きを読む)




依存の恐れある市販薬購入、対応に難しい面も-横浜市が依存症対策ヒアリング調査結果報告書公表
 横浜市はこのほど、依存症対策に関するヒアリング調査結果の報告書を公表した。横浜市薬剤師会などの事業者を対象としたもので、現状と課題、市との今後の連携の可能性などをまとめている。(続きを読む)



家族や友人・知人たちに感謝


スポンサーサイト