trarzh-TWenfrdeelitfarues

ISO 27001

ISO 27001情報セキュリティ管理システム証明書

    現在のページ:  
  1. 科学
  2. 認定
  3. システム認証
  4. ISO 27001情報セキュリティ管理システム

ISO 27001情報セキュリティ管理システム

システム認証
ISO 27001情報セキュリティ管理システム
  • 12

データと情報とは

まず、情報の基本概念を見てみましょう。 最も単純な用語では、生の生データはデータと呼ばれます。 データの処理形式は情報です。 データまたはデータ式は数値および論理値です。

保護する必要がある情報の主な特徴は次のとおりです。

  • 情報の機密性:情報の機密性は、アクセスできない、権限が与えられていない個人、組織、団体、およびプロセスによって説明されていないと呼ばれます。
  • 知識の誠実性:正確性、完全性および独自の知識の質の維持を意味します。
  • 情報のアクセス可能性:情報は、許可された人によっていつでもアクセスされ使用されることができるという特徴です。

情報はさまざまな方法で分類できます。 ただし、基本的に次のように分類することは可能です。

  • 機密情報はビジネスにとって重要です。 この情報にアクセスできるのは、管理チームのメンバーだけです。 許可されていない人によるそのような情報のアクセス、使用および共有は企業にとって不便である。 つまり、この情報を機密にしておくことが不可欠です。
  • 企業内で利用可能な情報は、関係する従業員のみがアクセス可能な個人情報です。 単位従業員以外の他の従業員および第三者がアクセスして見るべきではないという情報。 そのような情報を機密にしておくことは不可欠です。
  • 個人情報は従業員の個人情報です。 事業活動に関連する個人的な研究のみがカバーされています。 仕事に関係のない個人情報を保存し保存するのは正しくありません。 個人情報がアクセス可能であることが不可欠です。
  • 会社に利用可能な情報は従業員の使用のみのためです。 そのような情報には、完全性とアクセス可能性が不可欠です。 ユニット間で共有される情報はこのクラスに分類されます。

ISO / IEC 27001情報セキュリティ管理システムとは何ですか?

あらゆる種類の情報のセキュリティを確保するために、国際標準化機構(ISO)および国際電気標準会議(IEC)によってISO / IEC 2005情報セキュリティ管理システム規格が公開されました。

実際、この規格の歴史は、英国規格協会によって1995で公開されたBS 7799規格の最初の部分と1998で公開された2番目の部分を構成しています。 これらの規格は1999でまとめて改訂されました。 2000年までに、ISO / IEC 17799規格が発行されました。 2002では、BS 7799-2標準が更新され、2005によって次の標準がInternational Standards Organizationによって発行されました。

  • ISO 7799:BS 2-27001の代わりに2005標準
  • ISO 17799:2000標準の代わりにISO 27002:2005標準

これら2つの規格は、2013でごく最近改訂されました。

この標準ファミリは、トルコ規格協会によって次のように我が国で発行されています。

  • 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と用語集
  • TS EN ISO / IEC 27001情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要求事項
  • TS EN ISO / IEC 27002情報技術 - セキュリティ技術 - 情報セキュリティ管理のための応用原則
  • TS ISO / IEC 27003情報技術 - セキュリティ技術 - 情報セキュリティ管理システムアプリケーションガイド
  • ISO / IEC 27004情報技術 - セキュリティ技術 - 情報セキュリティ管理 - 測定
  • TS ISO / IEC 27005情報技術 - セキュリティ技術 - 情報セキュリティリスク管理
  • TS ISO / IEC 27006情報技術 - セキュリティ技術 - 情報セキュリティ管理システムの監査と認証を実施する組織に対する要件
  • TS ISO / IEC 27007情報技術 - セキュリティ技術 - 情報セキュリティ管理システムの監査のためのガイダンス
  • TSE ISO / IEC EN 27008情報技術 - 安全技術 - 監査人のための情報セキュリティ管理ガイド

リスク、リスク管理、脅威とは

フランス語から私たちの言語で配置されたリスクフレーズは危害の危険性として定義されています。 リスクとは、予期しないイベントが発生し、それによって影響を受けることです。 したがって、リスクはネガティブな状況、危険と見なされます。 このように、リスクの悪影響から保護し、危害を避けるために、さまざまな可能性を考慮して対策が講じられています。 これらの研究や計画活動を含む方法はリスク管理と呼ばれます。

リスク管理とは、企業の運用性の中断を防ぎ、その活動が悪影響を受けないようにするために、いくつかのリスク要因を識別、測定、分析、および評価し、起こり得る損失を最小限に抑えるプロセスです。 しかし、リスク管理活動におけるリスクを完全に排除することは不可能です。

リスク管理調査の主な要素は次のとおりです。

  • 情報価値による企業の資産の決定
  • ビジネスを脅かす内部および外部の危険性の特定
  • ビジネスを危険にさらす弱点および開放点の検出
  • リスク実現の可能性を判断する
  • 企業およびシステムの活動に対するリスクの影響の決定

資産とは、システムの一部であり、企業にとって価値のあるものすべてを意味します。 したがって、資産はビジネスにとって価値があり、保護する必要があります。

情報技術システムに関して言えば、資産はソフトウェアとハ​​ードウェアだけではありません。 次のものが存在の概念に含まれます:あらゆる種類の情報、パーソナルコンピュータ、プリンタ、サーバおよびすべての同様のハードウェア、オペレーティングシステム、開発されたアプリケーション、オフィスプログラムおよびすべての同様のソフトウェア、すべての文書、サービスが生み出され、もちろん市場でのビジネスの評判とイメージ。

リスクはリスク管理研究において特定の分類の対象となる。 たとえば、資産が低リスクグループで損傷を受けても、情報システムはそれほど損傷を受けることはなく、システムは機能し続けます。 この状況は企業の評判を傷つけません。 中リスクグループで資産が損傷を受けた場合、情報システムは影響を受けます。 システムは機能し続けますが、資産を適切に配置する必要があります。 この状況は、企業の評判にいくらかの損害を与えます。 高リスクグループで資産が破損した場合、情報システムは大きな影響を受けます。 システムのほぼ半分が使用不能になります。 システムが機能するためには、資産を交換する必要があります。 この状況は企業の評判に大きな影響を与えます。 非常に危険度の高いグループでは、情報の存在が深刻な被害を受けており、この場合、システムの操作性が大きく影響を受けています。 情報システムが利用できません。 この状況は市場での会社の評判に非常に悪い影響を与えます。

故意または偶然の結果としての脅威は、システムの脆弱性を悪用し、資産を損傷する可能性があります。 自然の脅威には、地震、地滑り、洪水、落雷、暴風雨などがあります。 環境への脅威には、大気汚染、長期の停電、漏水などがあります。 人間によって引き起こされる脅威は、意識的または無意識のうちに人々によって引き起こされます。 たとえば、システムに誤ったデータを入力したり、外部ネットワーク攻撃、システムに悪意のあるソフトウェアをインストールしたり、ユーザーの資格情報を盗んだり、権限のある人にシステムにアクセスしたりします。

情報システムへの公開は、システムセキュリティ手順、実際には、または内部監査において遭遇する弱点、エラーまたは欠陥であり、情報セキュリティに違反します。 これらの開口部だけでは危険はありません。 彼らの実現に脅威があるはずです。

ISO 27001情報セキュリティ管理システムの範囲は何ですか?

事業分野や規模にかかわらず、企業はその活動の範囲内で特定の情報を生成します。この情報は各企業にとって価値があります。 情報を保護するための取り組みは企業によって異なりますが、通常、システムは次の主な要素をカバーします。

  • 企業のトップマネジメントは、情報セキュリティの分野で従うべき方針を定義し説明しているはずです。
  • 企業内の情報資産をリストし、重要度の順に並べます。
  • 従業員がミスを犯す可能性を防ぐ必要があります。
  • 企業内の情報資産の誤用のリスクを減らす必要があります。
  • 情報源への攻撃、および情報の破損や改ざんのリスクを減らす必要があります。
  • 業務用コンピュータシステムは十分で信頼できるものであるべきです。
  • 許可された人だけが情報にアクセスできます。
  • セキュリティが侵害された場合は、イベントの形態に応じてタイムリーかつ迅速な対応が可能です。
  • 情報への攻撃は、企業の主な活動を中断するべきではなく、そして通常の環境に非常に早く戻ることができるべきです。 言い換えれば、活動の継続性を確保する必要があります。
  • 情報セキュリティ管理システムは、事業体の法定規制の義務を満たすのに十分なレベルでなければなりません。

ISO 27001情報セキュリティ管理システムは企業内の情報技術プロジェクトとしてのみ認識されていますが、実際には企業全体に関わる情報セキュリティプロジェクトです。 そのため、上級管理職がISO 27001規格の確立と運用に直接責任を持ちます。 今日、ISO 27001情報セキュリティ管理システムは、企業内のすべての人事、上級管理職、情報システムおよびビジネスプロセスを含む全体として管理されています。

ISO 27001規格の主な目的は次のとおりです。

  • 存在する場合、情報セキュリティの脆弱性を特定する
  • 情報資産を脅かすリスクの特定
  • リスクのある情報資産のセキュリティを確保するための監査方法を決定する
  • 必要な管理が実行されていることを確認し、リスクを許容可能なレベルに維持する
  • 企業内の情報セキュリティ管理の継続性を確保するため

ISO 27001情報セキュリティ管理システムは何をもたらしますか?

ISO 27001規格は、リスクアセスメント方法論の確立、リスクアセスメントレポートの作成、およびリスク処理計画の作成を可能にします。

時間の経過とともに、システムに存在する脅威と脆弱性の性質は変化する可能性があります。 あるいは、ISO 27001規格を適用して実施された管理の結果として、リスクが軽減されたり、厳しさが軽減される可能性があります。 したがって、企業のリスク監視活動は重要です。 企業は、決められた期間内に、受け入れられている方法論に従ってリスクアセスメント研究を実施する義務があります。

ISO 27001規格の情報セキュリティポリシーには、主に次のものが含まれます。物理的および環境的セキュリティ、機器のセキュリティ、オペレーティングシステムとエンドユーザーのセキュリティ、パスワードのセキュリティ、およびサーバーとシステムのセキュリティ。

物理的および環境的セキュリティの問題は、システムへの不正アクセスを防止し、さまざまなリスクから情報資産を保護することです。 今日、物理的および環境的安全性はますます重要になっています。 ビジネスビルの入り口にプライベートセキュリティチームが存在すること、重要な情報環境を保管すること、および暗号化されたセキュリティシステムを使用してこれらの環境にアクセスすることが、そのような対策の例です。 情報システムを保護するために、カード制御アクセスおよび同様の物理的セキュリティシステムを設置するのが一般的です。 このような物理的な国境警備は、情報資産のセキュリティニーズとリスク評価の結果に基づいて確立されます。 非常に危険な情報を含む環境は、認証カードまたはPIN保護によって不正アクセスからブロックされています。 さらに、火災、洪水、地震、爆発または社会的混乱などの災害によって引き起こされた損害に対して物理的保護対策を講じて適用する必要があります。

ISO 27001情報セキュリティ管理システムの重要性

情報セキュリティは、企業内での作業の継続性を確保し、不可避の危険が発生した場合の損失を最小限に抑え、すべての場合においてリソースの機密性、アクセス可能性、および完全性を保護することを目的としています。 今日では、従業員だけでなく、ビジネスパートナー、株主、および顧客とも、情報の保護と機密保持のための信頼環境の確立は、ビジネス管理にとって戦略的に重要です。

さまざまな方法で経験されたセキュリティ問題は活動の継続を妨げるだけでなく、市場の損失を引き起こし、競争上の困難を生み出し、そしてビジネスパートナー、株主および顧客に対する信頼の損失を引き起こします。 これらの数を回復するための支出のコストはそれらを失うことを避けるための対策のコストよりも高価です。

ビジネスのための情報は、他の商業用資産と同様に、価値があるため保護する必要がある資産です。 事業が活動を継続するためには、情報が非常に重要です。 このため、情報資産を機密に保ち、その整合性を常に維持して利用できるようにすることが重要です。つまり、情報セキュリティが保証されます。 ISO / IEC 27001情報セキュリティ管理システムは、この方向で企業のニーズを定義する唯一の国際的で監査可能なシステムです。

ISO 27001規格は、公共、金融、健康、情報技術など、情報の処理と保護が最も重要となる分野で特に必要です。 この標準は、他の人々や組織のために情報を管理する企業にとっても重要です。 このようにして、企業は顧客に彼らの情報が保護されているという保証を提供します。

ISO 27001情報セキュリティ管理システムは、情報セキュリティの提供、この規格の適用、アプリケーションの監視、レビュー、維持、および継続的な改善を目的として企業が確立した管理システムです。 この枠組みの中で、企業のリソースを特定し、考えられるリスクを特定するために、リスク分析研究が行われます。 リスク評価研究は、リスクの重要性を判断するための、リスクと特定のリスク基準との比較です。

ISO 27001情報セキュリティ管理システム計画

企業におけるISO 27001規格の確立は、いくつかのステップに依存します。 のようです、

  • まず、企業のインフラストラクチャに関する情報を収集する必要があります。 この情報は、企業の活動分野、行われた作業の性質、企業の使命および解決に関連しています。
  • 次に、システムの確立に役立つキー名を決定する必要があります。 この段階で、リスク管理とシステム確立の目的に責任を負う者を決定する必要があります。
  • それから企業のセキュリティ状況は今日の状況で決定されるべきです。
  • その後、場所、運営、事業機能、情報技術などの情報を収集し、システムの範囲を決定します。
  • この段階で、ISO 27001情報セキュリティ管理システムの目的と範囲を決定し、作業プログラムを確立する必要があります。
  • 最後に、最後の段階で、システムの確立とシステムの継続性に必要なプロセスを決定する必要があります。

このサイクルは伝統的にすべての品質管理システムに当てはまりますが、ここでもそうです。

  • 計画(情報セキュリティ管理体制の確立)
  • 応募する(情報セキュリティマネジメントシステムの実施と運用)
  • チェック(情報セキュリティ管理システムの監視と見直し)
  • 予防策をとる(情報セキュリティマネジメントシステムの整備と改善)

当然のことながら、そのようなシステムの確立により、企業は大きな利益を得ます。 たとえば、

  • 企業はすべての情報資産の存在と重要性を認識しています。
  • 指定された管理方法および保護方法に適用することで、情報資産を保護します。
  • このようにして、作業の継続性が保証されます。 何らかのリスクが発生した場合は、活動が中断されるのを防ぎます。
  • このシステムでは、サプライヤ企業や顧客の情報を保護するため、関係者からの信頼を得ています。
  • 情報の保護は偶然に任されていません。
  • 顧客を評価するとき、ビジネスは競合他社よりも体系的に行動します。
  • ビジネスにおける従業員のやる気が高まります。
  • 法的規制が確実になるように、可能な法的フォローアップは妨げられます。
  • 市場での事業の評判が高まり、その事業は競合他社との闘いにおいて一歩先を進んでいます。

ISO 27001情報セキュリティ管理システムでは、企業内のすべての情報資産に対応し評価することが求められており、これらの資産の弱点と脅威を考慮してリスク分析が行われています。 これを達成するために、企業はその構造に適したリスク管理方法を選択し、リスク計画を立てるべきです。 この基準には、リスク処理に関する管理目的および管理方法が含まれています。

ISO 27001規格に従って、企業はリスク管理とリスク処理の計画を立て、タスクと責任を特定し、事業継続計画を準備し、緊急管理プロセスを準備し、それらを実施中に記録することが求められます。

企業はまた、これらすべての活動をカバーする情報セキュリティポリシーを発行する必要があります。 すべての上級管理職および従業員も、情報セキュリティと脅威に注意する必要があります。 ISO 27001情報セキュリティ管理システムの実装では、選択された管理目的を測定し、管理の適合性とパフォーマンスを継続的に監視する必要があります。 このプロセスは、生活プロセス、情報セキュリティ管理、上級管理職の積極的な支援、および全従業員の参加が保証されるべきである。 依頼企業は、リスク管理、政策決定、セキュリティプロセスの文書化、適切な管理方法の特定と実施において、コンサルティングと専門家のサポートを受けることができます。

要するに、ISO 27001規格は、総合的な情報セキュリティと、情報セキュリティを生活プロセスとしてどのように保証するかを定義するシステムです。 このシステムを設定する手順は、次のように説明できます。

  • 情報資産の分類
  • 機密性、完全性、およびアクセシビリティ基準による情報資産の評価
  • リスク分析
  • リスク分析の結果に応じて適用する管理方法の決定
  • ドキュメンテーション作業の完了
  • 決められた制御方法の適用
  • 内部監査調査の実施
  • 規格で要求される記録を保管する
  • マネジメントレビュー会議の実施
  • 認定試験を実施する

電子通信に関連する脅威と弱点

関連する法的規制の枠組みの中で、情報セキュリティを確保するために企業がやるべきことがいくつかあります。

  • コンピュータが使用したIPログを記録する
  • 過去にどの従業員にIPアドレスが割り当てられているかを記録しておく
  • 従業員の出張の記録をインターネットに記録する
  • 従業員から送信された電子メールログレコードを保管する
  • 従業員が費やしたインターネット上のページと過去に費やした期間の記録を保持する
  • コンテンツによるフィルタリングによってインターネットアクセスへの制限付きアクセスを提供する
  • 取得したすべてのレコードの完全性を保証し、それらが変更されていないことを証明する

この枠組みの中で、従業員の電子通信に対する主な脅威は次のとおりです。

  • 許可なしに、または既存の許可制限を超えてセキュリティ上の注意が必要な領域に入る従業員
  • 従業員は、許可なく、または情報の削除、追加、変更、遅延、別の媒体への保存、または情報の開示により、データの機密性、完全性および継続性を無断で乱すことを試みます。
  • ハードウェアおよびソフトウェアコンポーネントの全部または一部が、法規制および国内外の規格に従って設定された要件を満たさないようにすること
  • ユーザーを誤解させることによって、正しい相手との電子通信が行われているという印象を与える
  • 違法な方法で電子通信を監視する
  • 誤った情報を作成したり、誤った情報を他の人に送ったりすることによって、この情報が第三者から得られたものであると主張
  • 電子通信インフラストラクチャを部分的または完全に機能しなくする、またはサービスの提供を妨げるような方法でこのインフラストラクチャのリソースを消費すること。

その間に、電子通信のためのいくつかの弱点は次のようにリストすることができます:

  • 予見できない将来の脅威
  • システムまたはプロトコルの設計における誤り
  • システムまたはプロトコルをインストールするときの問題
  • ソフトウェア開発者によって引き起こされたエラー
  • ユーザーエラー
  • システムの使用中に発生する不適切または不適合

ISO 27001情報セキュリティ管理システムの標準構造

ISO 27001標準は最近2013で改訂されました。 このバージョンでは、規格の節は次のとおりです。

  1. スコープ
  2. 引用規格および文書
  3. 用語とレシピ
  4. 組織のコンテキスト
  • 組織とその文脈を理解する
  • 利害関係者のニーズと期待を理解する
  • 情報セキュリティ管理体制の範囲の決定
  • 情報セキュリティ管理システム
  1. リーダーシップ
  • リーダーシップとコミットメント
  • ポリシー
  • 企業の役割、責任および権限
  1. プランラマ
  • リスクと機会を扱う活動
  • 情報セキュリティの目的とこれらの目的を達成するための計画
  1. デセク
  • リソース
  • 資格
  • 意識
  • 通信
  • 書かれた情報
  1. オペレーティング
  • 運用計画および管理
  • 情報セキュリティリスク評価
  • 情報セキュリティリスク処理
  1. 性能評価
  • 監視、測定、分析および評価
  • 内部監査
  • マネジメントレビュー
  1. 更生
  • 不適合および是正処置
  • 継続的な改善

ISO 27001情報セキュリティ管理システム認証

ISO 27001情報セキュリティ管理システムを確立して運用を開始した後、企業はこの状況を顧客、競合他社、および関連する公的団体および民間団体に証明するためにISO 27001証明書を取得したいと思うでしょう。 ただし、このシステムをインストールする目的は、このドキュメントを入手することだけではありません。 そうでなければ、システムは上記の利点を提供するとは期待できない。

実施プロセス中に決定された管理方法、情報資産の保護、情報資産を脅かすリスクの管理、リスクを排除または軽減するための措置、長期的に生じる新たなリスクの評価および容認できないが許容できるリスクがある場合はこれらのリスクの評価これらについては、トップマネジメントの承認が必要です。 ビジネスが存在する限り、このプロセスは続きます。

ISO 27001規格の要件を満たし、情報セキュリティ管理システムを実装している企業は、認証機関に申請することでISO 27001証明書を要求できるようになりました。 この時点で、認証機関が地元または外国の認定機関から認定されていることが非常に重要です。 そうでなければ、発行される報告書および文書は有効性を持つことができません。

認証作業の最初の段階は、既存の文書化作業によって行われます。 この段階では、情報セキュリティポリシー、リスクアセスメントレポート、リスクアクションプラン、適合宣言、セキュリティ手順、および企業が作成したアプリケーションの指示が個別に処理されます。 これらの文書に不適合が見つかった場合、それらは第2段階に進む前に完了していると予想されます。

第1段階を完了した後、認証機関は1人以上の監査人を任命し、企業の作業環境、すなわち作業で監査作業を開始します。 これらの現場監査では、活動の分野に応じて企業が決定した情報セキュリティ管理策がISO 27001規格の要件に準拠しているかどうかが観察されます。 第二段階審査が完了した後、審査員は報告書を作成し、それを認証機関に提出します。

認証機関はこの報告書に基づいて評価調査を行い、適切と判断した場合はISO 27001情報セキュリティ管理システム証明書を作成して企業に提供します。 証明書の有効期間は3年です。 ただし、本資料発行後は、企業の求めに応じて年1回または2回の中間監査を実施しています。 3年後、認証試験を再度実施しなければなりません。

 

認定

同社は国際的に認められた基準で監査、監督および認証サービスを提供し、また定期的な検査、テストおよび管理サービスを提供しています。

お問い合わせ

住所:

マフムトベイ Mh、ディルメンラー CD、No 2 
Bagcilar-イスタンブール、トルコ

電話:

+ 90(212)702 00 00

Whatsapp:

+ 90(532)281 01 42

Email:

[メール保護]

なぜ科学なのか

SCIENCEブランドは、組織に付加価値をもたらします。

Arama