2008年 09月 21日
頭の痛い、ISO 27001とJIS Q 15001 |
この週末は、某大手銀行系システムハウスであるお取引先からの情報セキュリティに関する管理体制についてのアンケートの締め切り日でした。ギリギリのタイミングで回答を送らせて頂きましたが、他のお取引先からも、同じような調査票が定期的に届きます。
業務委託先に対する情報セキュリティマネジメントシステム整備への要請が次第次第にきつくなり、ほぼ、そうした規約整備と運用がないと、委託先社内での作業が伴う業務を発注しない、という状況が見透かされます。
標題にした、ISO27001やその関連や、JIS Q 15001のいずれかを、会社の業務体制の中に取り入れないと、大手のシステムハウスさんや、情報マネジメントシステムを運用しているお客様から仕事を受注できなくなる、という状況になっています。
ご存じでない方に、念のためご説明すると、ISO27001は、企業内で保持する情報が、万一漏洩したときなどのリスク判定をしながら、どのように管理、運用するかという取り決めを、工業規格にしたものです。その規格に基づいて、各企業が情報セキュリティに関する管理規約を決め、これをISOの品質に適合しているかどうか、認定機関に認定して貰い、適合させた上で定期的に見直しをしながら運用します。
JIS Q 15001とその関連は、日本独自のもので、プライバシーマークとも呼ばれています。これは名前の通り、個人情報保護のための工業規格で、ISO27001と同じように、その規格に基づいて、企業内の個人情報保護の管理規約を定めて、認定機関に認定して貰い、それを運用します。
小企業にとって、極めて頭の痛いところは、認定のための費用と内部体制整備のための手間、そして運用コストです。
インターネットで「ISO27001」「費用」というキーワードで検索して頂けると分かると思いますが、認証のためのコンサルティング費用と、認証機関への認証費用で初年度300万円~500万円くらいの金額を普通に目にします。この他に、なかなか見えてこない費用として、セキュリティ対策、盗難対策などに関連した設備改善費用、社内規約作成のための、社内の担当者の人件費、翌年以降の検査費用、もっとも大変な運用などを考えなければならず、それら全てを考慮すると、大きな負担が待っています。
小規模事務所には、厳しい話ですね。
秋葉@ゑこう
業務委託先に対する情報セキュリティマネジメントシステム整備への要請が次第次第にきつくなり、ほぼ、そうした規約整備と運用がないと、委託先社内での作業が伴う業務を発注しない、という状況が見透かされます。
標題にした、ISO27001やその関連や、JIS Q 15001のいずれかを、会社の業務体制の中に取り入れないと、大手のシステムハウスさんや、情報マネジメントシステムを運用しているお客様から仕事を受注できなくなる、という状況になっています。
ご存じでない方に、念のためご説明すると、ISO27001は、企業内で保持する情報が、万一漏洩したときなどのリスク判定をしながら、どのように管理、運用するかという取り決めを、工業規格にしたものです。その規格に基づいて、各企業が情報セキュリティに関する管理規約を決め、これをISOの品質に適合しているかどうか、認定機関に認定して貰い、適合させた上で定期的に見直しをしながら運用します。
JIS Q 15001とその関連は、日本独自のもので、プライバシーマークとも呼ばれています。これは名前の通り、個人情報保護のための工業規格で、ISO27001と同じように、その規格に基づいて、企業内の個人情報保護の管理規約を定めて、認定機関に認定して貰い、それを運用します。
小企業にとって、極めて頭の痛いところは、認定のための費用と内部体制整備のための手間、そして運用コストです。
インターネットで「ISO27001」「費用」というキーワードで検索して頂けると分かると思いますが、認証のためのコンサルティング費用と、認証機関への認証費用で初年度300万円~500万円くらいの金額を普通に目にします。この他に、なかなか見えてこない費用として、セキュリティ対策、盗難対策などに関連した設備改善費用、社内規約作成のための、社内の担当者の人件費、翌年以降の検査費用、もっとも大変な運用などを考えなければならず、それら全てを考慮すると、大きな負担が待っています。
小規模事務所には、厳しい話ですね。
秋葉@ゑこう
by akiba-echo
| 2008-09-21 09:42
| 仕事の話し
|
Comments(0)
