企業情報トップ > 企業広報・広告宣伝活動について > 事例広告
| 2003年1月28日 日経新聞掲載 | ||
 |
||
 |
2001年10月、BS7799取得に向けたプロジェクトがスタート
近年、我が国でもe-Japan構想をはじめとして、情報セキュリティ管理の重要性が強く叫ばれている。NTTコミュニケーションズ・ソリューション事業部は、情報セキュリティ管理の国際標準規格「BS7799」の取得に向け2001年10月に社内プロジェクトを発足し、体系的かつ網羅的な情報管理策の導入と認証の取得に向けて動き始めた。 「企業や官公庁などお客さまに対して今まで以上に品質の高いサービスを提供していくために、そして国際的にも信頼を得ていくためには、従来以上の情報セキュリティ管理の構築や国際標準規格の取得が不可欠であった。」(同ソリューション事業部・企画部 山下航太) 「BS7799」の認証取得にあたっては同事業部内でお客様向けにセキュリティコンサルティングサービスを提供する“GuardIT(ガーディット)”チームのツールや手法を最大限活用し、現状のセキュリティレベルのリスク分析、効果的で効率的なセキュリティポリシーの策定、そしてポリシーの全体への浸透などに努めた。 各部署との度重なる調整を通じて より現実的で高水準なポリシーが誕生 「BS7799」を取得するためには、全ての部署であらゆる現状業務をチェックし、業務フローを再確認しなければならない。だが当時、日本で「BS7799」の認証を得ていた企業は僅か数社に過ぎず、同・ソリューション事業部のように4000名規模の部署が取得した例は皆無。取得までの道のりでは、営業・開発・保守と多岐に渡る業務範囲やその拠点数、対象システムなどの規模の大きさ、複雑さが1つの大きな“壁”となって立ち塞がった。山下も、「プロジェクトメンバーから社内各部に作業を依頼した際は、かなり反発があったことも事実です。」と当時を振り返る。 だが認証取得に向けた「セキュリティポリシー」が具体化されるに従い、各部署からは実運用に即した意見やアイデアが次々と寄せられるようになった。これらの意見を一つ一つ、貴重な声として汲み取ることで、ポリシーはより高水準なものへとブラッシュアップされていった。  セキュリティの徹底・向上は、 お客さまの声にお応えしていくための最低条件 そして2002年10月、NTTコミュニケーションズは、国内最大の4000人規模で「BS7799」と「ISMS適合性評価制度」の認証を取得。同社の情報セキュリティマネジメントプロセスが、国内外における認証基準をクリアしたことが目に見える形で実証されたのだ。社内プロジェクト発足からちょうど1年後のことだった。 「今ではお客さまのご要望、業務やシステムの特性、情報の重要度などに合わせて、各部門で自発的に新しい運用方法を模索し、そのやり方を組織全体にフィードバックするようになった。結果として、組織全体としてより高レベルな管理策が立てられるようになった」(山下)。 日々、高度化・複雑化するためセキュリティ対策には終わりはない。NTTコミュニケーションズでは、社員一人ひとりが日々セキュリティの徹底・向上を図ることで、今後もお客さまのビジネスを安心してお任せ頂けるよう、常に万全の体制を整えている。 |
|
|
|
|
|
  |
|
|
BS7799………情報セキュリティにおけるベストプラクティス(最適慣行)をまとめ、基本的な管理項目を規定するために英国BSI(British Standard Institute)によって作成された管理基準。二部構成となっており、第1部は「情報セキュリティマネジメントシステム(ISMS)の実施基準」、第2部は「情報セキュリティマネジメントシステムの仕様」について記載。このうち第1部は、2000年、国際標準化機構ISOと国際電気標準会議IECより、ISO番号(ISO/IEC17799)が与えられ、国際標準化されている。第2部はISO化に向けた検討が進められているところであるが、現在では世界的に情報セキュリティ管理に関する事実上の標準規格となっている。
BSI………British Standard Institution(英国規格協会)の略。1901年、英・貿易産業省の支援を受けて設立された、世界で最も古い歴史を持つ国家規格協会で、BS7799以外にもISO9000(品質管理)やISO14001(環境管理)のベースとなる規格を作成したことでも知られる。現在、100か国以上でシステム認証、製品認証、製品検査などの幅広いサービスを提供している。 ISMS適合性評価制度………ISMSとは、Information Security Management System(情報セキュリティマネジメントシステム)の略であり、ISMS適合性評価制度は、財団法人日本情報処理開発協会(JIPDEC)が、2002年4月から本格運用開始した (2001年度はパイロット事業として運用)、情報セキュリティマネジメントシステムに関する適合性評価制度。旧通商産業省の「情報処理サービス業情報システム安全対策実施事業所認定制度(安対制度)」にかわる第三者認証制度として開始され、やはり国際標準である「ISO/IEC17799:2000」をベースとして作成されている。 |
|
セキュリティコンサルティングサービス
セキュリティポリシーの策定やルールの整備、情報セキュリティ監査の計画策定から内部監査実施・結果分析・報告書作成、ISO27001やPマークなどの認証取得サポートなど、お客さまの情報セキュリティマネジメントを総合的に支援します。
|
