あらゆる規模、あらゆる業種の組織に対するサイバー犯罪者の攻撃のニュースが毎日のように報じられていることからも明らかなように、情報セキュリティは今日、必須の課題となっています。中小企業は特にそうですが、大企業の多くも、機密データや情報を不正アクセスから適切に保護していません。ソフトウェア・サービス・プロバイダーのENTERBRAINは、効果的な情報セキュリティ管理システムの導入と適用に成功した好例である。運営責任者クリスチャン・ケルナー氏へのインタビューとISO 27001のケーススタディをお読みください。
ISO 27001のケーススタディ-ENTERBRAINは認証に依存する
ドイツのオッフェンバッハに本拠を置くENTERBRAIN Software GmbHは、ヨーロッパ有数のファンドレイジング・ソフトウェア・プロバイダーです。同組織のソフトウェア・ソリューションは、非営利団体の寄付や会員管理を支援している。特に、これらのソフトウェア・ソリューションは、個人データや支払明細の管理に使用されている。このような機密情報の保護と、その完全性と可用性は、ソフトウェア・プロバイダとその顧客にとって、法的側面も含めて最優先事項である。
2019年からISO 27001の認証を受けた情報セキュリティマネジメントシステムは、このための包括的な実践的枠組みを提供している。情報セキュリティの3つの保護目標である情報の機密性、完全性、可用性を保証します。確立された管理システムは、拘束力のあるプロセス、役割、権限を定義し、情報セキュリティリスクを体系的に低減すると同時に、顧客やビジネスパートナーとの信頼関係を構築する。
ISO 27001の積極的な活用
マネジメントシステムの積極的な活用と、それに伴う脅威の継続的な分析と評価のおかげで、ENTERBRAINは情報セキュリティとデータ保護の分野で非常に有利な立場にあります。社内の保護対象はすべて包括的に文書化されています。これに加えて、セキュリティギャップを埋めるために、適用されるガイドライン、技術的指示、組織規則が定義されています。
体系的なアプローチにより、セキュリティ・ギャップを解消するために必要な脅威やプロセスに関する透明性を高めている。定期的な意識向上トレーニングにより、全従業員が情報セキュリティの重要性を認識する。
実際、情報セキュリティの管理システムは、その価値をすでに何度も証明している。特に、定期的な社員教育のおかげである。例えば、2020年には、新バージョンのEmotet*ウイルスの蔓延を防ぐことができた。
* Emotet=電子メールで送信されるコンピュータマルウェア(マクロウイルス)ファミリー
サービス従業員が脅威を早期に発見したおかげで、最悪の事態は避けられた。この新種のウイルスは、当時市販されていたどのウイルススキャナーソフトウェアでも検出されませんでした。
このインシデント発生中、ENTERBRAINは顧客から感染した電子メールを受け取りましたが、その電子メールを最初に開いたのは従業員で、従業員はすぐにインシデントを報告しました。その結果、緊急チームが発足し、同社のセキュリティ緊急マニュアルに従ってインシデントに対処しました。従業員の迅速かつ良心的な対応のおかげで、感染したコンピューターは隔離され、ウイルスが社内ネットワークに広がるのを防ぐことができた。さらに、ITフォレンジック会社に依頼して、ウイルスの亜種とネットワークを調査し、サポートを提供しました。
Loading...
当社のISO 27001認証は、当社の情報、データ、ビジネス・プロセスを効果的に保護します。同時に、すべてのビジネス・プロセスと保護対象の分析と評価によって、これらの会社に関連する領域における透明性が確保されています。
成功と信頼の基盤としての情報セキュリティ
ファンドレイジング・ソフトウェア・プロバイダーとその顧客にとって、規制の遵守は事業活動に不可欠な要素です。データ保護と全従業員のコンプライアンス遵守は、顧客やパートナーとの信頼関係の基盤です。このような要件から、同社は国際的に認知されているISO 27001規格に基づき、提供するすべてのサービスについて認証を取得している。
すべてのサービスに対する完全な認証取得は、単一の事業部門に対する認証取得よりもはるかに複雑ではあるが、情報セキュリティのレベルが高いほど、同社にとってはメリットが大きい。一方では、すべての事業部門で情報セキュリティ管理のメリットが得られることを意味し、他方では、エンターブレインはISO 27001認証を取得していない他の市場プレーヤーに対して競争上の優位性を享受しています。
さらに、コンプライアンスというテーマは一般的に重要性を増しており、多くの組織がISO 27001認証取得企業との提携を要件としています。
得られた透明性は、顧客満足度と企業内の効率性を高めるためのプロセス最適化の優れた出発点となります。また、ビジネス・クリティカルなプロセスや領域が明確に定義され、的を絞ったリスクの最小化を通じて、より安全性を高めることができる。
Loading...
認証を取得する
ご質問はございませんか?お問い合わせを受付しております!
ISO 27001認証取得には、どのようなコストがかかるのでしょうか?無料のお問い合わせをお待ちしております。
インタビュー:クリスチャン・ケルナー
ENTERBRAIN Software GmbH オペレーション責任者
情報セキュリティマネジメントシステムのメリットはひとつです。しかし、その認証と関連する年次サーベイランス監査のためには、企業は認定された認証機関との協力が不可欠です。このインタビューでは、Christian Körner氏がISO 27001の経験について語ります。
DQS:ケルナーさんは、中小企業向けに開発されたシステムで情報セキュリティの仕事を始められました。ISO 27001規格に切り替える際には、包括的なアップグレードが必要でした。特に中小企業がさらされている大規模なサイバー脅威を考慮すると、このアプローチは現在でも推奨されるのでしょうか。
クリスチャン・ケルナー氏 エンターブレインは、非常に早い段階から情報セキュリティに重点を置き、先駆的な役割を担ってきました。私たちの業界では、情報セキュリティは成功と信頼の基盤です。デジタルトランスフォーメーションが加速する中で、このテーマはますます重要になっています。
私たちの実務経験とサイバー脅威の増大に基づき、私たちは現在、ISO 27001認証取得から直接始めることを推奨しています。認証プロセスで重要なことは、セキュリティ・リスクを発見し、透明性を確保することで、そのリスクを低減または最小化できることです。これは企業の情報セキュリティに大きく貢献します。
DQS:ISO 27001によって、認知されたマネジメントシステムの基礎を築かれたわけですが、DQSとの最初の認証審査のことを今でも覚えていますか?
Christian Körner 氏:2019年の最初のISO 27001審査では、社内の全員がかなり緊張していました。当時、最初の情報セキュリティマネジメントシステムの認証ですでに経験はありましたが、ISO 27001は別格でした。
今から思えば、最初のISO 27001認証のことを思い出すと、少し笑わざるを得ません。一方では、当時すでにISO規格の準備は万端であったこと、他方では、不適合があれば改善の可能性が透明に示されるため、企業として認証プロセスから恩恵を受けることができただけでした。
結局のところ、私たちの目標は情報セキュリティを確保し、向上させることです。したがって、私たちは常に、私たちのプロセスを最適化するための情報や提案を歓迎します。まだ認証を受けていない組織には、この点だけをお勧めします。ISO 27001の認証は、認証が欲しいという願望に基づいているのではなく、今日の企業における情報セキュリティの重要性を理解した上で受けるべきです。
DQS:その後のサーベイランス審査で、改善の可能性に関する有益で実行可能なヒントを審査員から受け取りましたか?
クリスチャン・ケルナー氏 私たちにとって、サーベイランス監査は認証取得と継続的な最適化の重要な一部です。審査員と直接やり取りすることで、実際に実施するための貴重な情報を得ることができ、大きな充実感を得ることができます。同時に、ここ数年にわたる審査員のITに関する総合的な知識とシステムに対する理解も役立っています。彼には、プロセスをよく理解し、当社の企業規模を念頭に置いてくれる経験豊富なスパーリング・パートナーがいるのです。
DQS:現在、最初の再認証を成功裏に終えており、間もなく新バージョンであるISO/IEC 27001:2022に切り替わりますが、この件に関してDQSとはすでに連絡を取っているのですか?
クリスチャン・ケルナー氏 はい、DQSとはすでに数カ月前から連絡を取り合っており、切り替えの準備を進めています。また、「プライバシー情報管理システム」の拡張の可能性についても調整中です。
DQS: DQSが協力面で改善できる点はありますか?
クリスチャン・ケルナー氏 協力関係には非常に満足しています。これは経験豊富な審査員によるところが大きく、審査員による評価によって、私たちのシステムの継続的な改善を大きくサポートしてくれています。
DQS: 新しいISO/IEC 27001:2022への移行に向けて頑張ってください!
今後の計画とISO 27001:2022
ISO 27001は、情報セキュリティに関する国際的に認知された規格であり、2005年に初めて英語で発行された。この規格は2013年に改訂され、ISOマネジメントシステム規格の主要なものの中で最初に、当時の新しいハイレベル構造に変換された。2022年にはさらなる改訂が行われ、最新の情報技術に対応することに重点が置かれた。
ENTERBRAINは、新しいISO 27001:2022への移行にサプライズはないと考えており、それどころか、特にデータ保護とサイバーセキュリティの分野が強化されることから、この改訂を歓迎している。
同社は現在、新しい対策と要求事項を分析し、企業固有のプロセスや状況と比較している。その後、中間結果の評価を実施し、実施の必要性を判断する予定である。特に、付属文書Aの93の管理項目については、新たに追加されるものもある。
Loading...
ISO/IEC 27001:2022
44のユーザーからの質問と専門家による回答
情報セキュリティの「新しいもの」:ユーザーと規格専門家によるISO 27001改訂の有用な詳細:
- 新しい管理とは何か?
- プロセス指向について考慮すべき点は?
- いつ新規格に切り替えるべきか?
- ... その他の質問
ENTERBRAINで学んだISO 27001の教訓 - まとめ
ISO27001に準拠した情報セキュリティマネジメントシステムの導入は、ENTERBRAINのセキュリティ戦略を強化する決定的な一歩となりました。ISO 27001認証で得た経験は、技術的な対策だけでなく組織的な対策も含めた全体的なアプローチの重要性を強調しています。
ISO27001の認証取得により、セキュリティ基盤が改善されただけでなく、顧客やパートナーからの信頼も大幅に向上しました。従業員には情報セキュリティの重要性がより認識されるようになり、会社全体にセキュリティ文化が定着した。導入には課題もあったが、プラスの効果がマイナスの効果を明らかに上回った。
ISO 27001の経験から得られた結論は明確である。認証は単なる証明書ではなく、企業を脅威により強くし、明確な競争上の優位性を提供する継続的なプロセスなのである。
ENTERBRAIN Software GmbH:数字、データ、事実
ENTERBRAINは、組織のコア・プロセスをマッピングするソフトウェア・ソリューションを非営利企業に提供しています。自社開発のコアソリューション「Brain 2.0」は、資金調達活動を最適化し、寄付組織のCRMおよびERPシステムとしても機能します(CRM=顧客関係管理、ERP=企業資源監査計画)。 ブラウザベースのソリューション "Enterweb "とオンライン寄付ツール "Enterdonate "は、革新的なウェブソリューションで製品ポートフォリオを補完しています。
- 1992年設立
- 経営陣ミヒャエル・シャルボニエ(イノベーション)、クリスチャン・ケルナー(オペレーション)
- 従業員数17
- 300以上の非営利団体が利用
- ソフトウェア・ソリューションで管理される寄付の額>年間3億ユーロ
www.enterbrain.gmbh
専門知識と信頼
当社の経験豊富な監査員による、人、プロセス、システム、結果に関する全体的かつ中立的な視点は、貴社の情報セキュリティマネジメントシステムがいかに効果的で、どのように実施・管理されているかを示します。ISO規格に準拠した認証取得を試験としてではなく、貴社のマネジメントシステムを強化するものとして認識していただくことが重要です。
私たちの審査は、お客様に明確さを提供します。私たちのお客様は、これをチャンスと捉えています。お客様にとって、改善の可能性や起こりうるリスクに関する独立審査員のフィードバックは、品質能力の証明としてのDQS認証書と同様に貴重なものです。このことを保証するために、私たちは誠実さと客観性に厳しい注意を払っています。これについては、私たちの監査哲学をお読みください。
審査では、特に「なぜ」と質問します。これは、お客様が特定の実施方法を選択した理由を理解したいからです。私たちは改善の可能性に焦点を当て、視点の転換を促します。こうすることで、マネジメントシステムを継続的に改善するための行動の選択肢を認識することができます。私たちの言葉に耳を傾けてください。
注:当社の記事は、当社のマネジメントシステム規格専門家および長年にわたる監査人のみが執筆しています。著者に質問がある場合は、当社までご連絡ください。ご連絡をお待ちしております。
DQSのメールマガジン
メルマガを登録して、あなたのビジネスに役立つ最新情報を入手しましょう。
著者名
アンドレ サッケル
DQSの情報セキュリティ管理プロダクトマネージャーであるアンドレ・サッケルは、情報セキュリティとITセキュリティカタログ(重要インフラストラクチャ)分野の規格専門家として、以下の規格および業界固有の規格を担当しています:ISO 27001、ISIS12、ISO 20000-1、KRITIS、TISAX(自動車産業における情報セキュリティ)。さらに、彼はドイツ標準化協会DINの国内代表として、ISO/IEC JTC 1/SC 27/WG 1作業部会のメンバーでもあります。
Loading...
