ISO27001とは
ISMSは、Information Security Management Systemの略で、情報セキュリティマネジメントシステム、簡単に言えば、情報セキュリティを守るための、組織内の運用管理の仕組みのことです。ISMSには適合性を評価する制度があり、その基準としている規格が、国際標準化機構(ISO)が発行しているISO/IEC27001です。ISO/IEC27001は、第三者審査で適合が認められれば、情報セキュリティのレベルが一定水準にあることを国際的に評価されるものとなります。
当社の認証取得コンサルティング
ISO27001認証取得においては、推進体制の確立から、方針策定、リスクアセスメント、ISMS文書作成、教育訓練、内部監査、マネジメントレビュー、審査対応など、多くの活動が必要になります。
当社では、認証取得いただくまで、お客様の状況に合わせて柔軟に支援いたします。
また、ISO27017(クラウドサービスの情報セキュリティ)、ISO27018(パブリッククラウド上の個人情報保護)に基づく認証取得コンサルティングも実施しております。ISO27017、ISO27018は、共にISO27001のアドオン規格となり、ISO27001への認証を前提としたものです。
〈当社の特徴〉
-
システム開発ベンダーとして情報技術に見識の深いコンサルティング
-
お客様に無理がないよう雛形文書をカスタマイズし、組織に合ったISMSを構築
-
認証取得するまで、お客様の状況に合わせた柔軟な支援
支援内容
新規取得支援の一般的な例です。平均的に8か月程度かけて準備しますが、企業規模や体制、当社の支援内容によって、内容・スケジュールともに増減します。
※月1、2回、1回2時間程度の打合せとなります。Webでの打合せにも対応します。
取得後の維持・更新コンサルティング
ISMSの活動は、取得したら終わりではなく、取得してから始まると言っても過言ではありません。
社内への定着はもとより、内外の変化に基づいたISMSの改善、セキュリティ対策の見直しなど、やるべきことはたくさんあります。いかに運用するかがよいISMS活動の決め手になります。
当社のISMS維持・更新コンサルティングでは、取得までの活動内容(上記支援内容)の見直しに加え、社内への定着、内外変化への対応を含めた改善を、お客様の状況に合わせて柔軟に支援いたします。
〈ポイント〉
-
ISMSを組織に合うように、より効率化するために改善
-
セキュリティ対策の見直し、策定
-
ISMSの活動の社内への定着
-
内外の環境変化への対応
-
社員の情報セキュリティリテラシーの向上
-
情報セキュリティに関する情報提供
-
情報セキュリティインシデントへの対応相談
ISMS 取得のメリットは?
-
Q1.Webの脆弱性診断って何?WebサイトのOSやWebアプリケーションなどに脆弱性がないかを診断するものです。脆弱性とは、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。 脆弱性が残された状態でコンピューターなどを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があるため、脆弱性を解消する必要があるのです。
-
Q2. 何を診察してくれるの?Webサイトを構成しているWebサーバーに対して診断を行います。 Webサーバーに対する脆弱性診断に限らず、ネットワーク機器や社内ネットワークにつながっているコンピューターをネットワーク内から診断する内部脆弱性診断も承っています。
-
Q3. 診断で何がわかるの?診断対象Webサーバーが脆弱性を保有しているかどうかが分かります。 診断する脆弱性の数は10万項目以上にものぼりますが、診断結果としてご報告するのは、実際の被害に直結する可能性が高い15種類の項目に限定しています。
-
Q4. 診断基準はどうなっているの?C. A. T. クリニックでは、脆弱性診断の国際的標準である「CVSS」(Common Vulnerability Scoring System)に基づいて行っています。 これは、様々な脆弱性の要素に点数を付けて、その合計値により判定を行うというもので、世界中どの国、どのようなシステムに対しても同じように適用することができる信頼性の高い評価基準です。
-
Q5. 診断は一度やればいいの?いいえ、コンピューターに対する脆弱性は毎日のように新しいものが報告されています。そして、その新しい脆弱性に対して攻撃を仕掛ける手法も開発され続けています。 したがって、一度の脆弱性診断だけでは、最新の脅威に対して十分な対策が施されているかどうかを知ることができません。 人間の場合、年に一回の健康診断では、その間に発病した癌が進行してしまい、次回の健康診断で発見されたときには、すでに手遅れだったということがあります。Webサイトにも同じことが言えます。 そのために、C. A. T. クリニックは、毎月、脆弱性診断を実施して継続的にWebサイトの健康状態を見守ります。
-
Q6. 診断にリスクはないの?脆弱性診断は、ネットワーク越しにWebサーバーのポートをスキャンすることにより行います。サーバーの内部に入り込んでシステムを操作したり、データに変更を加えたりすることはありませんからリスクは限りなくゼロに近いです。
-
Q7. 診断にかかる時間はどれくらい?Webサイトの構成にもよりますが、通常、30分から60分以内で終了します。
-
Q8. 診断で問題が見つかったらどうすればいいの?診断で異常が発見されたときは、診断結果のお知らせに解決に向けたアドバイスを添えています。 診断結果に対するご質問もお受けしているほか、自社で対策が難しいお客様には、弊社と弊社パートナーによる対策案のご提示や対策の実施も可能です。
-
Q9. どうして安くできるの?セキュリティの重要性は認識していても、料金が高すぎて手が出せないといった理由で脆弱性が放置されることのない社会を作るために私たちは立ち上がりました。 コンピューターの世界は、蟻の一穴が周辺に被害を拡大させてしまいます。企業規模の大小を問わず、社会全体でセキュリティの穴をふさぐことが何より重要です。 これまでの脆弱性診断サービスは、大規模サイトやシステムなどに対する内容と料金設定であり、中小規模のサイトにとっては非常に高額でした。 そこで、C. A. T. クリニックでは、大規模サイトと同等の診断ツールで精度を保ちながら、中小規模のサイトにとって本当に必要な項目のみに絞り、自動的に行うことで早く安くサービスをご提供することができるようにしました。
-
Q10. 安い分、クオリティが低いのでは?そもそも、あらゆるセキュリティリスクをつぶすのは、コストの面から現実的ではありません。はっきり申し上げて無理です。 特にWebサイトの場合は、被害に遭う脆弱性がある程度類型化されています。それらに重点を置いた対策を講じていただくことで、ほとんどの被害を食い止めることできます。まさに選択と集中が功を奏する場面です。 C. A. T. クリニックは、やらなくていいことをやらないから、クオリティを維持したまま料金を抑えることができるのです。
-
Q11. 見つかった問題点は、直してもらえるの?当社からのアドバイスだけで解消できるものについては、懇切丁寧に対応いたします。 専門家による対策が必要な場合は、信頼できる業者をご紹介することも可能です。 また、お客様がすでにお取引のある業者様などにご依頼なさる場合は、より詳しい診断結果をご提供いたしますのでお申し付けください。(別途料金が発生します)