株式会社アイ・エス・レーティングは、世界初の情報セキュリティ格付専門会社です。

情報セキュリティ格付とは

情報セキュリティ格付とは、企業や組織が取り扱う技術情報、営業機密、個人情報について、主として漏えい事故などが起きないかどうか、そのセキュリティのレベルを示す指標です。
具体的には、マネジメントの成熟度、情報漏えい防止策の強度、コンプライアンスへの取り組みなどの視点から審査し、結果を総合的に評価してAAAisを最高とする17段階の符号で表します。高い評価を付与されれば、その企業や組織の信頼につながります。なお、これは格付機関の意見であって、事故が起きないことを保証するものではありません。

情報セキュリティ格付の特徴

格付取得のメリットとして次の4点をあげることができます。

  1. レベルがわかる――17段階評価のどこに位置するかがわかります。
  2. 対外的にアピールできる――格付符号を自社のホームページなどに掲載できます。
  3. 比較できる――他の会社・組織とレベルを比べたり、昨年と今年を比べることができます。
  4. 対策の強度がわかる――重要情報、預かり情報を守る対策の強さが判定できます。

格付の対象範囲

企業全体より、事業部などの組織単位、工場・研究所などの拠点単位で格付けを受けるのが一般的です。

格付審査の手順

格付けの審査には専門のアナリストが当たり、次のような手順で実施します。

格付審査の流れ

事前準備(格付範囲を決定します)

アイ・エス・レーティングの担当者と打ち合わせをしながら、格付けの範囲、審査のスケジュール等を決めます。あわせて「事前質問書」「開示依頼書」など審査に必要な書類の準備をお願いします。

管理体制をみる(マネジメントの成熟度を審査します) → 設計審査

情報セキュリティの統括部門(=統制部門、ルールを作っている部署)で、管理体制(ルール)について文書審査します。次にアナリストが統制部門の責任者(CIO、CSIOまたはセキュリティ統括責任者)にインタビューします。

運用をみる(現場での運用状況を審査します) → 運用審査A

格付対象範囲の中からサンプリングにより複数の部署を選び、その部署の現場でルールが正しく運用されているかどうかを審査します。事前質問書への回答をもとに、現場を実地調査するとともに、現場責任者にインタビューします。

強度をみる(情報漏えいのリスクがあるポイントごとに対策を審査します) → 運用審査B

サンプリングにより選定した部署における重要情報資産をチェックします。ここではとりわけ顧客からの預かり情報に着目します。預かり情報の漏えいリスクが高いのは ①情報の受け渡し(移送)②情報の保管 ③保管媒体の変換 ④情報の消去(媒体の破棄)――の4つのポイントであると想定し、このポイントごとにどのような対策を打っているか、その対策が万全かどうか審査します。

格付符号の決定

経営から独立した組織である格付委員会を開催し、アナリストがまとめた審査結果をもとに審議し、格付符号を決定します。

123


ページのTOPへ