ISMS(アイエスエムエス)とは、Information Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムと言います。組織が保有する情報資産のセキュリティを管理するための仕組みや枠組みを指します。具体的には、情報セキュリティに関するリスクを評価し、適切な対策を計画・実行・評価・改善していく一連の活動を指します。
ISMSは、組織が情報セキュリティリスクを管理し、情報の機密性、完全性、可用性を維持することを目的としています。
ISMSの主な要素:
- 情報セキュリティの3要素:
- 機密性 (Confidentiality):許可された者だけが情報にアクセスできるようにすること。
- 完全性 (Integrity):情報が正確であり、改ざんされていない状態を維持すること。
- 可用性 (Availability):許可された者が、必要なときに情報にアクセスできる状態を維持すること。
- リスクアセスメント:情報資産に対するリスクを評価し、適切な対策を講じること。
- 管理策:リスクを軽減するための具体的な対策のこと。技術的な対策だけでなく、組織のルールや手順なども含まれます。
- 継続的な改善:ISMSの効果を定期的に評価し、必要に応じて改善していくこと。
ISMSの導入と認証:
ISMSを導入することで、組織は情報セキュリティリスクを管理し、顧客や取引先からの信頼を得ることができます。また、ISMSの国際規格であるISO/IEC 27001や、日本国内の規格であるJIS Q 27001に基づいて認証を取得することも可能です。
ISMSとPマークの違い:
ISMSとプライバシーマーク(Pマーク)はどちらも情報セキュリティに関する認証制度ですが、目的が異なります。ISMSは組織全体の情報セキュリティリスクを管理するのに対し、Pマークは個人情報保護に特化しています。
情報セキュリティーポリシー
→下記3階層の文書で構成されます。情報セキュリティー基本方針
組織の経営者が「セキュリティの最高責任者として、情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を組織内外に宣言する文書情報セキュリティ対策基準
基本方針の目標を達成するために必要な規則を記述した文書。企業の構成員が守べきセキュリテイ関連規定類に相当する。情報セキュリティ実践手順
対策基準を実践するために必要な手続きを記述した文書。作業手順書やマニュアルなどに相当する。
コメント