情報セキュリティリスク診断サービス
企業の情報漏洩のおよそ85%は内部者の不正や不適切な情報の取扱いによって発生しています。(2007年JNSA調べ)

情報セキュリティリスク診断サービスは、システム上の対策のみではなく、企業活動における情報漏洩の可能性(情報セキュリティリスク)を、包括的な視点で具体的に捉え、お客様の個々の業務実態におけるリスクの重要性に応じた、有効かつ合理的なセキュリティ対策を実現するための実態把握を支援する調査、診断サービスです。
情報セキュリティリスク診断のフレームワーク
特徴
  • 経済産業省「情報セキュリティ管理基準」及び、ISO27000シリーズの情報漏洩に対する管理策基準を基礎とした評価項目を用意しており、診断結果をISMSの認証取得におけるリスクアセスメントに活用できます。
  • 不正対策に関する評価を含めており、「機密情報窃取」による不正対策の検討に利用できます。
  • リスクマネジメント手法による評価により、お客様の現状における漏洩対策の妥当性を含めた有効性を判定します。個々の情報漏洩リスクに対して、『どこまでやらなければならないか』に対する判断が容易になります。
診断の流れ
「情報セキュリティリスク一覧」に従って、実際の企業活動の現場に対する調査を実施し、情報漏洩のリスクの実態及び、対応の現状とリスクに対する妥当性を検証します。
診断対象となる部門、管理対象となる情報によって異なりますが、およそ2か月〜3か月間の作業を想定しております。
情報セキュリティリスク一覧
弊社は、経済産業省「情報セキュリティ管理基準」を基に、具体的な情報漏洩の可能性につながる要素を「情報セキュリティリスク一覧」として、具体的に整理いたしました。
「情報セキュリティリスク一覧」は、ISMS認証取得の基準となるISO27000シリーズを基礎としていることに加えて、近年の情報漏洩において特に注目される、『不正行為』に対応するよう、機密情報の窃取を助長する環境、仕組みの評価を取り入れております。
『情報セキュリティリスク』の区分一覧

1.情報セキュリティに関する基本方針
2.組織・管理体制
3.資産の管理
4.人的資源の管理
5.物理的アクセス
6.ユーザーアクセス
7.管理者アクセス
8.ネットワークアクセス
9.リモートアクセス
10.外部ネットワークの利用
11.モバイルの利用
12.電子メール及びその他情報の交換
13.Webアプリケーションその他対外サービス
14.媒体の管理
15.プログラムファイル・データの保護
16.ソースプログラム
17.システム開発・変更・保守
18.システムの運用・管理
19.不正
期待される効果
「情報セキュリティリスク一覧」を用いた実態調査活動は、活動自体が、情報漏洩の発生の抑止につながり、また、お客様において、過剰または過小なセキュリティ対策に陥らないための、重要な情報を得る機会となります。
  • 調査先の組織・従業員の情報セキュリティに対する認識度合や、より具体的な管理状況、情報漏洩の発生の兆候などについて生の情報が得られる。
  • 調査先に対する、情報セキュリティリスクへの理解の浸透や、意識づけにより、情報の不正な取り扱いへの抑止効果が期待できる。
  • 現在の情報セキュリティリスクの重要性(脅威の度合)を判断・比較する上での基準が構築できる。
  • リスクの重要性に応じた、対策レベル(どこまで・どの程度が妥当か)を具体化するための基礎情報が得られる。