ホーム/サービス/ITコンサルティング/情報セキュリティ(ISO/IEC 27001:2022認証取得)支援
シェア

情報セキュリティ(ISO/IEC 27001:2022認証取得)支援 | RSM汐留パートナーズ

情報セキュリティ(ISO/IEC 27001:2022認証取得)支援

ISO/IEC27001:2022(情報セキュリティマネジメントシステムの国際規格)を基に、情報マネジメントシステムの構築や継続的改善を支援します。

情報セキュリティとは、デジタル・アナログを含め、機密性・完全性・可用性を確保して、情報資産を守るための取り組みを言います。

機密性

許可された人のみが情報にアクセスできるようにすること

完全性

所有する情報が正確であり、完全である状態を維持すること

可用性

許可された人が必要な時にいつでも情報にアクセスできるようにすること

ITの普及・急速な進化に伴い、生産性・利便性の向上、情報・データの一元化・自動化・安全な保管が進んだ一方で、機密情報や個人情報の改ざん・漏えい・消失、内外部からの不正アクセス、サイバー攻撃、国内外法規制への対応など、情報資産に関するリスクは年々多様化・複雑化しています。このようなリスクの対応を誤ると、事業の停止、お客様の喪失、賠償請求や金銭的損失、従業員の退職などを伴う可能性もあります。

RSM汐留パートナーズは「情報セキュリティリスク=経営リスク」と捉え、貴社の情報資産を守る仕組みを構築し、継続的改善を進め、リスクを軽減するためのサポートをします。

サポートにあたり、経営者が情報セキュリティへの取り組みについてリーダーシップを発揮し、自社だけでなく関連会社・業務委託先・調達先を含めたサプライチェーン側の対策と可能な限り連携し、かつ平時また緊急時において関係するステークホルダーとの能動的かつ双方向コミュニケーションを実施することにより、企業としての社会的責任を果たし、事業の信頼性や透明性を高め、企業価値を高めることが大事だと考えています。

また、サイバー攻撃の高度化、クラウドサービスの増加、リモートワークの普及、内部不正や誤操作による情報漏えいのリスクに備え、ゼロトラストセキュリティとの統合も大事だと考えています。ゼロトラストセキュリティとは「何も信用しない」という前提で、すべての内外からのアクセスを厳密に検証するセキュリティの仕組みです。従来の「社内ネットワークは安全」という境界型セキュリティとは異なり、社内外を問わずすべてのデバイスやユーザーのアクセスをチェックし、必要な認証を行います。さらに、貴社の個々のニーズやご要望に合わせ、サービスをカスタマイズすることも可能です。

こんなお悩み、ありませんか?

  • 経営者が情報セキュリティマネジメントの重要性を認識しておらず、会社のトップとしてITリソースの確保やセキュリティ対策の決定等に能動的に関わっていない
  • 自社だけでなく、関連会社、業務委託先、その他関連するサプライチェーンにおいて共通の情報を取り扱う場合、セキュリティ意識を高めるための教育訓練やコミュニケーションを取っていない
  • フィッシング攻撃やランサムウェアなどの脅威が進化し、企業の防御をすり抜けるケースが増えている中、サイバー攻撃を想定した防御策を計画、実行できていない
  • クラウドサービスの利用が増える中、アクセス管理やデータ保護の対策を十分に計画、実行できていない
  • リモートワークが普及している中、従業員が異なる場所やデバイスから業務を行うため、「誰が、どこから、何にアクセスしているか」を監視する仕組みが機能していない
  • 従業員による情報漏洩・消失のリスク(意図的か否かにかかわらず)を検知したり監視する仕組みが機能していない
  • 法人顧客から情報セキュリティへの取り組みに関するアンケートや監査が来て、対応に苦慮している
  • GDPR(EUのデータ保護規則)や個人情報保護法等、国内外の法規制の施行や改定にキャッチアップした対応が実行できていない

主なご支援内容

ic1

ISO27001要求事項の把握~ギャップ分析~リスクと機会の特定

ISO27001の目的や要求事項を理解したうえで、ISO要求事項と現状の業務やプロセスとの間のギャップ(違い)を把握し、貴社がISO要求事項を満たすために取り組むべきリスクと機会は何か?を明確にすることを支援します。

ic2

方針・戦略・目標・アクションプラン策定

ISO要求事項を満たすために取り組むべきリスクと機会への対応のため、貴社の情報セキュリティ方針、戦略、目標、アクションプラン策定を支援します。情報セキュリティに関連する部署はITだけでなく、ITを利活用する全ての部門となりますので、経営幹部を含めたクロスファンクショナルチームを構成し運用することをお薦めします。

ic3

マネジメントシステム構築

貴社の情報セキュリティに関する方針、戦略、目標、アクションプランを達成していくために必要な体制や経営資源を確保し、Plan-Do-Check-ActつまりPDCAサイクルを回し、継続的改善を進めることを支援します。特に、クラウドサービスの利用増加、リモートワークの普及、サイバー攻撃の高度化などの背景から、サイバーセキュリティやゼロトラストセキュリティとの統合が大事だと考えています。ゼロトラストセキュリティとは「何も信用しない」という前提で、すべてのアクセスを厳密に検証するセキュリティの仕組みを言います。

ic4

プロジェクトマネジメント

クロスファンクショナル(全社または複数事業部横断)プロジェクトを推進する際、プロジェクトの進捗状況やプロジェクト毎の課題を把握し、その課題解決を支援するような人材が必要となります。企業によっては、プロジェクトマネジメントに関するスキルや能力を持つ人材が不足していることがあります。貴社にそのような人材不足のお悩みがあれば、弊社コンサルタントをプロジェクトマネージャーとして活用することが可能です。

ic5

チェンジマネジメント

情報セキュリティ、特にゼロトラストセキュリティは従来の概念や手法から大きな変革を伴います。チェンジマネジメントの手法やプロセスを実行し、チャンピオンを任命することにより、ゼロトラストセキュリティへの変革やその重要性について、貴社従業員をはじめ関連するステークホルダーが理解を深め、その変革に適応することができるよう支援します。

ic6

アウトソーシング

企業によっては、社内にIT技術や情報セキュリティに関する専門知識や業務経験を持つ人材が不足していることがあります。貴社にそのような人材不足のお悩みがあれば、弊社コンサルタントを業務要員として活用することが可能です。

ic7

教育訓練・コミュニケーション

情報セキュリティ技術は日々進化しており、経営者、従業員、関連会社、取引先・調達先への継続的な教育訓練やコミュニケーションが必要となってきます。貴社において教育訓練やコミュニケーションの準備や実施に時間がとれないお悩みがあれば、弊社コンサルタントを業務要員または業務支援として活用することが可能です。

ic1

認証審査準備

第三者認証機関への申請、テスト運用、内部監査、審査受審、審査指摘事項への対応等、審査に関連する作業を支援します。

ic2

情報開示・広報活動

企業は、株主の利益だけでなく、従業員、顧客、取引先、地域社会、環境など、あらゆるステークホルダーの利益に配慮して持続可能な事業活動を行うことが求められています。情報セキュリティにおいてもステークホルダーからの関心は年々高まっており、信頼性・透明性のある情報開示や平時または緊急時の広報活動を支援します。

ISO/IEC 27001:2022の要求事項

情報セキュリティにおける主な脅威と対策例

主な脅威解説対策例
不正アクセス権限のないユーザーがシステムやデータにアクセスする行為強固なパスワード管理、多要素認証(MFA)、アクセス制御
マルウェア感染ウイルスやランサムウェアなどの悪意あるソフトウェア最新のウイルス対策ソフトの導入、定期的なソフトウェア更新
フィッシング攻撃偽の電子メールやWebサイトを使い、情報を盗み取る手口送信者の確認、疑わしいリンクのアクセス回避、従業員教育
内部不正行為社員や関連ステークホルダーが意図的または過失で情報漏洩を行う監査ログの活用、アクセス権限の管理、内部通報制度の運用
人的ミスメール誤送信、誤ったコマンド実行によるデータ消去やシステム停止誤送信防止ツールの導入、アクセス権限の管理、定期的バックアップ、従業員教育
脆弱性のあるシステムソフトウェアやネットワークの未修正の脆弱性を狙った攻撃定期的なセキュリティ更新、脆弱性スキャン、パッチ適用
物理的情報の漏洩紙資料、PC、携帯電話の紛失や盗難による情報漏洩文書・記録の適切な廃棄、記録の保管期限の遵守、重要データの暗号化、PC・携帯電話紛失への対応、従業員教育
DDoS攻撃(分散型サービス妨害攻撃)複数のコンピュータを使って特定のサーバーやネットワークに大量のトラフィックを送り、サービスをダウンさせる攻撃手法トラフィック監視、CDNの活用、DDoS対策ツールの導入
ソーシャルエンジニアリング人間の心理を利用して情報を引き出す手法従業員教育、情報共有の厳格化、不審な外部からの問い合わせ対応

当社はISO/IEC27001:2022を認証取得しています

今後の流れ

flow-contact

お問い合わせ

本ページ下部からお気軽にお問い合わせください。

flow-hearing

ヒアリング

対面又はオンラインにて、課題やスケジュール、その他ご希望などを広くヒアリングさせて頂きます。

flow-note

お見積り

ヒアリングさせて頂いた内容を元にお見積りをさせて頂きます。

flow-handshake

ご契約

お見積りにご納得頂けましたら、ご契約をさせて頂きます。

flow-business

業務開始

業務を開始いたします。

お問い合わせ

情報セキュリティ(ISO/IEC 27001:2022認証取得)支援の料金体系

情報セキュリティ(ISO/IEC 27001:2022認証取得)支援の料金体系については想定業務範囲に基づく想定工数から算出した定額方式又はタイムチャージ方式にてお見積をさせていただいております。ご相談事項によっては、定額方式でのご支援が難しい場合もございますが、RSM汐留パートナーズはクライアントのご予算内で費用対効果抜群のサービスをご提供させていただくことをミッションとしています。まずはお気軽に当社コンサルタントまでご相談ください。