ジャパンシステムは5月12日、情報セキュリティを管理するためのトータルなリスクマネジメント体系(ISMS)における規格群である「ISO/IEC27000シリーズ」の「ISO/IEC27005(情報セキュリティのリスクマネジメント)」を基本に、組織にとって優先すべき情報セキュリティを判断し、実効性のある対策を支援する「情報セキュリティリスクアセスメントサービス」を提供開始した。
2016年1月の社会保障・税番号制度(マイナンバー)施行に伴う特定個人情報など、組織が保有する重要な情報が多岐にわたり、セキュリティ対策の重要性が高まっている。
一方で、2015年1月9日からサイバーセキュリティ基本法が全面施行され、情報セキュリティに対する意識が高まっている。
このような背景を踏まえ、同社は新サービスを提供開始するという。組織の事業特性や業務特性に応じてリスクを可視化し、優先すべき情報セキュリティ対策や実効性のある情報セキュリティ対策を支援するとのことだ。
同サービスでは、予算や人、運用面などの制約条件を考慮した現実的な対策計画を立て、その計画を実行するために必要な、リスク特定やリスク分析、リスク評価といったプロセスを支援するという。
|
情報セキュリティリスクアセスメントサービスの概要 |
実効性のある情報セキュリティ対策の支援では、情報資産を把握し、リスク分析に基づく対策計画であることに加えて、予算や人、運用面など組織における制約条件を考慮し優先順位をつけた計画とすることで、実効性ある対策計画を立案する。
組織ニーズに応じた効率的・効果的なアセスメント手法の使用では、業務特性を理解した上で、同社のノウハウに基づくヒアリング・シートを作成・使用し現状を把握する。また、セルフ・リスク・チェックシートによる簡易アセスメントなど、組織ニーズに応じたアセスメントが可能という。これらの手法により、効率的・効果的なアセスメントを実施する。 情報セキュリティリスクアセスメントは、対策実施後の組織環境において新たな脅威・脆弱性を踏まえて継続的に取り組む必要があるという。そのため、継続的な取り組みを考慮したアセスメントを実施する。
また、ISO/IEC27005(情報セキュリティのリスクマネジメント)を参照した手順により、情報セキュリティ・マネジメント・システムが機能するアセスメントを実施する。
