ISMSってなに?

ISMS(アイ エス エム エス)とは、Informatio Security Management System(情報セキュリティマネジメントシステム)の頭文字をとったもので、企業・組織などにおける情報セキュリティの管理の仕組みのことです。

この記事では、情報セキュリティマネジメントシステムについて解説していきます。

情報セキュリティとは?

情報セキュリティとは、情報の安全を守り,適切に利用できることをいいます。

具体的には、個人情報や企業秘密などの重要な情報が流出したり盗まれたりしないように情報を守ること(機密性)のほか、情報が最新で内容に誤りや改ざんがないこと(完全性)、情報を使いたい時に使えること(可用性)を指したもので、これらを情報セキュリティの3要素といいます。

マスター

情報セキュリティの要素は、「守る」ことだけではないんだ。

古い情報や誤った情報をお客様にお伝えしたら問題になりますね。

ミナライさん
マスター

情報を使いたい時に使えるようにしておくことも重要なんだ。

業務に必要なデータが必要な時に使えないと業務が中断してしまいますね。

ミナライさん

情報セキュリティの3要素は、それぞれの頭文字をとって情報セキュリティのCIAとも呼ばれています。

機密性(Confidentiality)

アクセスを認可された人や組織だけが,情報に確実にアクセスできること

完全性(Integrity)

情報資産が完全な状態で保存され,内容が正確であること

可用性(Availability)

情報資産が必要になったとき,利用できる状態にあること

マネジメントシステムとは?

マネジメントシステムとは、会社や組織が方針や目標を定め、その目標を達成するために会社や組織を適切に管理するための仕組みのことを指します。

例えば、会社は,自らが保有する機密情報や顧客から預かっている重要情報を紛失したり、業務で使用するパソコンや社内情報システムに保存されている機密データが盗まれたり外部に流出したりすることがないように、紙の書類やデータを適切に管理しなければなりません。

では、情報セキュリティを適切に管理する仕組みとは,どのようものなのでしょうか?

ミナライさん

情報を管理しなくちゃいけないんだから,ルールを整備すればいいんですね!

そうだね、でもルールの整備だけでよいのかな?

マスター
ミナライさん

ルールの整備以外にもやることがあるんですか?

決めたルールが守られているか,そのルールの有効性をチェックしたり,より良いルールにするために見直しや改善を図ることも必要なんだよ。

マスター
ミナライさん

なるほど,ルールを作ったら終わりなんじゃなくて,評価や見直しを行って,改善していくことが大切なんですね!

いわゆる「PDCAサイクル」を回して継続的改善を行っていく一連のプロセスが,マネジメントシステムなんだよ。

マスター

マネジメントシステムのPDCAサイクル

ISO/IEC27001(JIS Q 27001)では,組織のISMSの確立,導入,運用,監視,レビュー,維持及び改善のために,PDCAサイクルに基づくプロセスアプローチを採用しています。

  • Plan(ISMSの確立)
    組織の全般的な基本方針及び目的に沿った結果を出すための,リスクマネジメント及び情報セキュリティの改善に関連するISMS基本方針,目的、プロセス及び手順を確立する。
  • Do(ISMSの導入及び運用)
    ISMSの基本方針,管理策,プロセス及び手順を導入し運用する。
  • Check(ISMSの監視及びレビュー)
    ISMSの基本方針,目的及び実際の経験に照らし合わせてプロセスの実施状況を評価し,可能ならば測定し,その結果を見直しを行うために経営陣に報告する。
  • Act(ISMSの維持及び改善)
    ISMSの継続的な改善を達成するために,ISMSの内部監査及びマネジメントレビューの結果やそのほか関連情報に基づいて是正処置及び予防処置を講じる。

ISMSとISO/IEC 27001(JIS Q 27001)の関係

ISMSは,情報セキュリティの管理の仕組みであることは解説したとおりですが,ある組織が構築したその仕組みについて,他の組織は,それをどのように評価すればよいのだろうか?

マスター

なにか評価の基準になるようなものがなければ,その仕組みが有効で妥当なものかどうかわからない。

そうですね、共通の物差しがあれば一定の評価をすることが可能ですね。

ミナライさん
マスター

その共通の物差し,すなわち標準化された規格が,ISO/IEC 27001(JIS Q 27001)なんだよ。規格は,ISMSの構築や運用のほか情報セキュリティ管理策について,様々なことを実施するよう要求していて,これを規格要求事項というんだ。

なるほど,その組織のISMSが規格要求事項に適合していれば,その組織に情報セキュリティの管理の仕組みが存在していると評価することができるわけですね。

ミナライさん

マネジメントシステム認証

組織が構築したISMSが,国際的に標準化された情報セキュリティに関する規格に適合していることを認証機関(審査登録機関)が審査をして,その適合性が確認できれば認定機関に認証登録されるというのが,ISMS認証です。

これは,第三者認証とかマネジメントシステム認証ともいわれ,ISMS認証の登録を希望する組織に対して,認定機関が認証機関を通じて「その組織のISMSは,国際的な規格に適合していますよ」というお墨付きを与えているということもできます。

このような第三者認証制度を利用してISMS認証を取得することで,「我々の組織には,情報を安全に管理する仕組みが構築されているので安心してください」とアピールすることができ,組織の信頼性や価値の向上に役立てているのです。

まとめ

  • ISMSとは,情報セキュリティの管理の仕組み
  • 情報セキュリティとは「機密性」「完全性」「可用性」の3つの要素で構成されている
  • ISMS認証規格であるISO 27001は,PDCAサイクルを回して継続的改善を図るプロセスアプローチを採用している
  • ISMS認証は,「その組織には,国際規格に適合したISMSが構築されていますよ」というお墨付き
  • ISMS認証の取得は,組織の信頼性や価値向上に役立つ

-基礎知識