技術情報などの知的財産や、営業機密、個人情報などの機密情報が意図しない形で外部に漏れる、いわゆる情報漏えい事故が増加しています。そこで、経済産業省 産業構造審議会「グローバル情報セキュリティ戦略」(平成19 年5 月)において、企業等の情報セキュリティに対する取り組みが、顧客、取引先、株主など主要なステークホルダーから適切に評価されるために、「情報セキュリティ格付制度」が優先的・重点的課題に盛り込まれました。
情報セキュリティ格付で確かめ合う情報の安全・安心
これを受け、GSX、松下電器(現パナソニック)、富士通、格付投資情報センター等の株主30社が出資し、世界初の情報セキュリティ格付専門会社である株式会社アイ・エス・レーティング(ISR)が設立されました(平成20年5月)。
ISRの情報セキュリティ格付は、企業等が取り扱う技術情報や機密情報について、漏えい、改ざん、サービス停止等の事故が起きないかどうか、その耐性の度合いを評価するもので、AAA を最高とする17 段階の符号で結果を表し格付を行います。
情報セキュリティ格付け審査の全体構造(例)
(出所:株式会社アイ・エス・レーティング講演資料より引用)
※GSXは株主として、株式会社アイ・エス・レーティングの設立主旨に賛同し、情報セキュリティ格付の普及を目指します。
※上記のGSXが提供するサービスは、目標とする情報セキュリティ格付の符号の取得を保証するものではありません。
情報セキュリティ格付取得支援サービスを利用していただくことにより、下記のメリットがあります。
■情報セキュリティ格付取得のメリット
格付取得のメリットとして次の4点をあげることができます。
1.レベルがわかる
17段階評価のどこに位置するかがわかります。
2.対外的にアピールできる
格付符号を自社のホームページなどに掲載できます。
3.比較できる
他の会社・組織とレベルを比べたり、昨年と今年を比べることができます。
4.対策の強度がわかる
重要情報、預かり情報を守る対策の強さが判定できます。
■GSXの情報セキュリティ格付取得支援サービスの効果
格付審査で重視されるセキュリティ統制面やセキュリティ対策の成熟度及び強度向上の観点から、強力で効果的な支援を行います。
情報セキュリティ格付制度と従来からの情報セキュリティ認証制度(ISO27001)の違いは何ですか?
ISO27001の認証では、PDCAサイクルが継続的に回っているかマネジメントレベルを評価するのに対して、情報セキュリティ格付は、そのセキュリティ水準そのものをマネジメントの成熟度、脅威に対する対策の強度、コンプライアンスへの取り組みといった視点から総合的に評価しランク付けします。
情報セキュリティ格付取得支援サービスを受けると、目標とする情報セキュリティ格付の符号の取得を保証されますか?
情報セキュリティ格付は、中立・公平で信頼できる第三者機関の評価によるものなので、いかなる理由においても、格付符号の取得が保証されるものではありません。
情報セキュリティ格付取得にあたり、情報セキュリティ格付技術検査サービスは、必ず受けなければいけませんか?
情報セキュリティ格付技術検査サービスは必須ではありませんが、情報セキュリティ格付の特色である情報セキュリティ対策の強度評価をより確実にするための有効な手段となります。
