セキュリティの対象となる社内の情報資産を洗い出します。
情報資産ごとに、どんなリスク(紛失、破損、盗難、盗聴など)が発生しうるかを特定します。
リスクが実際に発生したらどのような被害や影響があるかを想定しながら、リスクの管理策を選定します。
管理策とは情報セキュリティ上実施すべき対策のことで、ISO27001ではあらかじめ130個ほどの対策が挙げられています。自社のリスクに応じて採用すべき管理策を決めます。
リスクの管理策やその他ISO27001で求められるルールをマニュアルや手順書にまとめます。
マニュアルや手順書の内容を社員に理解させて、それらをしっかり守りながら日々の仕事に取り組んでもらいます。
管理策やルールには「やらなければいけない」ことしか書かれていません。
それを「どのようにやる」かは、御社の状況に即して決めてよいことになっています。
そして、ここがISO27001が役に立つか役に立たなくなるかの分かれ道です。
● 無条件に現状維持の情報管理の方法を選ぶのか?
● 自社の短所を補ったり、お客様に安心してもらうような方法を選ぶのか?
あなたの会社次第です。
>>ISO27001に関するお問い合わせはこちらから。