情報セキュリティ（ISO/IEC 27001:2022認証取得）支援 | RSM汐留パートナーズ

ISO/IEC27001:2022（情報セキュリティマネジメントシステムの国際規格）を基に、情報マネジメントシステムの構築や継続的改善を支援します。

情報セキュリティとは、デジタル・アナログを含め、機密性・完全性・可用性を確保して、情報資産を守るための取り組みを言います。

機密性

許可された人のみが情報にアクセスできるようにすること

完全性

所有する情報が正確であり、完全である状態を維持すること

可用性

許可された人が必要な時にいつでも情報にアクセスできるようにすること

ITの普及・急速な進化に伴い、生産性・利便性の向上、情報・データの一元化・自動化・安全な保管が進んだ一方で、機密情報や個人情報の改ざん・漏えい・消失、内外部からの不正アクセス、サイバー攻撃、国内外法規制への対応など、情報資産に関するリスクは年々多様化・複雑化しています。このようなリスクの対応を誤ると、事業の停止、お客様の喪失、賠償請求や金銭的損失、従業員の退職などを伴う可能性もあります。

RSM汐留パートナーズは「情報セキュリティリスク＝経営リスク」と捉え、貴社の情報資産を守る仕組みを構築し、継続的改善を進め、リスクを軽減するためのサポートをします。

サポートにあたり、経営者が情報セキュリティへの取り組みについてリーダーシップを発揮し、自社だけでなく関連会社・業務委託先・調達先を含めたサプライチェーン側の対策と可能な限り連携し、かつ平時また緊急時において関係するステークホルダーとの能動的かつ双方向コミュニケーションを実施することにより、企業としての社会的責任を果たし、事業の信頼性や透明性を高め、企業価値を高めることが大事だと考えています。

また、サイバー攻撃の高度化、クラウドサービスの増加、リモートワークの普及、内部不正や誤操作による情報漏えいのリスクに備え、ゼロトラストセキュリティとの統合も大事だと考えています。ゼロトラストセキュリティとは「何も信用しない」という前提で、すべての内外からのアクセスを厳密に検証するセキュリティの仕組みです。従来の「社内ネットワークは安全」という境界型セキュリティとは異なり、社内外を問わずすべてのデバイスやユーザーのアクセスをチェックし、必要な認証を行います。さらに、貴社の個々のニーズやご要望に合わせ、サービスをカスタマイズすることも可能です。

こんなお悩み、ありませんか?

• 経営者が情報セキュリティマネジメントの重要性を認識しておらず、会社のトップとしてITリソースの確保やセキュリティ対策の決定等に能動的に関わっていない
• 自社だけでなく、関連会社、業務委託先、その他関連するサプライチェーンにおいて共通の情報を取り扱う場合、セキュリティ意識を高めるための教育訓練やコミュニケーションを取っていない
• フィッシング攻撃やランサムウェアなどの脅威が進化し、企業の防御をすり抜けるケースが増えている中、サイバー攻撃を想定した防御策を計画、実行できていない
• クラウドサービスの利用が増える中、アクセス管理やデータ保護の対策を十分に計画、実行できていない
• リモートワークが普及している中、従業員が異なる場所やデバイスから業務を行うため、「誰が、どこから、何にアクセスしているか」を監視する仕組みが機能していない
• 従業員による情報漏洩・消失のリスク（意図的か否かにかかわらず）を検知したり監視する仕組みが機能していない
• 法人顧客から情報セキュリティへの取り組みに関するアンケートや監査が来て、対応に苦慮している
• GDPR（EUのデータ保護規則）や個人情報保護法等、国内外の法規制の施行や改定にキャッチアップした対応が実行できていない

主なご支援内容

ISO27001要求事項の把握～ギャップ分析～リスクと機会の特定

ISO27001の目的や要求事項を理解したうえで、ISO要求事項と現状の業務やプロセスとの間のギャップ（違い）を把握し、貴社がISO要求事項を満たすために取り組むべきリスクと機会は何か？を明確にすることを支援します。

方針・戦略・目標・アクションプラン策定

ISO要求事項を満たすために取り組むべきリスクと機会への対応のため、貴社の情報セキュリティ方針、戦略、目標、アクションプラン策定を支援します。情報セキュリティに関連する部署はITだけでなく、ITを利活用する全ての部門となりますので、経営幹部を含めたクロスファンクショナルチームを構成し運用することをお薦めします。

マネジメントシステム構築

貴社の情報セキュリティに関する方針、戦略、目標、アクションプランを達成していくために必要な体制や経営資源を確保し、Plan-Do-Check-ActつまりPDCAサイクルを回し、継続的改善を進めることを支援します。特に、クラウドサービスの利用増加、リモートワークの普及、サイバー攻撃の高度化などの背景から、サイバーセキュリティやゼロトラストセキュリティとの統合が大事だと考えています。ゼロトラストセキュリティとは「何も信用しない」という前提で、すべてのアクセスを厳密に検証するセキュリティの仕組みを言います。

プロジェクトマネジメント

クロスファンクショナル（全社または複数事業部横断）プロジェクトを推進する際、プロジェクトの進捗状況やプロジェクト毎の課題を把握し、その課題解決を支援するような人材が必要となります。企業によっては、プロジェクトマネジメントに関するスキルや能力を持つ人材が不足していることがあります。貴社にそのような人材不足のお悩みがあれば、弊社コンサルタントをプロジェクトマネージャーとして活用することが可能です。

チェンジマネジメント

情報セキュリティ、特にゼロトラストセキュリティは従来の概念や手法から大きな変革を伴います。チェンジマネジメントの手法やプロセスを実行し、チャンピオンを任命することにより、ゼロトラストセキュリティへの変革やその重要性について、貴社従業員をはじめ関連するステークホルダーが理解を深め、その変革に適応することができるよう支援します。

アウトソーシング

企業によっては、社内にIT技術や情報セキュリティに関する専門知識や業務経験を持つ人材が不足していることがあります。貴社にそのような人材不足のお悩みがあれば、弊社コンサルタントを業務要員として活用することが可能です。

教育訓練・コミュニケーション

情報セキュリティ技術は日々進化しており、経営者、従業員、関連会社、取引先・調達先への継続的な教育訓練やコミュニケーションが必要となってきます。貴社において教育訓練やコミュニケーションの準備や実施に時間がとれないお悩みがあれば、弊社コンサルタントを業務要員または業務支援として活用することが可能です。

認証審査準備

第三者認証機関への申請、テスト運用、内部監査、審査受審、審査指摘事項への対応等、審査に関連する作業を支援します。

情報開示・広報活動

企業は、株主の利益だけでなく、従業員、顧客、取引先、地域社会、環境など、あらゆるステークホルダーの利益に配慮して持続可能な事業活動を行うことが求められています。情報セキュリティにおいてもステークホルダーからの関心は年々高まっており、信頼性・透明性のある情報開示や平時または緊急時の広報活動を支援します。

ISO/IEC 27001:2022の要求事項

情報セキュリティにおける主な脅威と対策例

当社はISO/IEC27001:2022を認証取得しています

今後の流れ

お問い合わせ

本ページ下部からお気軽にお問い合わせください。

ヒアリング

対面又はオンラインにて、課題やスケジュール、その他ご希望などを広くヒアリングさせて頂きます。

お見積り

ヒアリングさせて頂いた内容を元にお見積りをさせて頂きます。

ご契約

お見積りにご納得頂けましたら、ご契約をさせて頂きます。

業務開始

業務を開始いたします。