Web教材一覧情報倫理・セキュリティ

ISMS(情報セキュリティマネジメントシステム)の概要

キーワード

ISMS、情報セキュリティマネジメントシステム


ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、情報セキュリティ対策を経営管理活動の一環として、経営者のリーダーシップにより、全社的な・継続的な活動として取り組むことです(注)。
 ISO/IEC27001(JIS Q 27001)では、次のように定義しています。
 「マネジメントシステム全体の中で、事業リスクに対する取組み方に基づいて、情報セキュリティの確立、導入、運用、監視、レビュー、維持及び改善を担う部分。
 注:マネジメントシステムには、組織の構造、方針、計画作成活動、責任、実践、手順、プロセス及び経営資源が含まれる。」

(注)情報セキュリティマネジメントの主要対象は、情報システムへのリスクです。そのため、情報セキュリティマネジメントはリスクマネジメントの一環として認識されるべきです。なお、経営者のなかでリスクマネジメントを担当する最高責任者をCRO(Chief Risk Officer)といいます。

ISMSの導入・運用は、次の手順で行われます。
  ・導入・推進のための組織体制の確立
  ・セキュリティポリシー(基本方針)の策定
  ・リスク分析の実施
  ・対策基準・実施基準の策定と周知
  ・実践活動とモニタリング
 そして、PDCAサイクルにより継続的な改善活動を行うことにより、情報セキュリティの成熟度を高めることが必要です。

ISMSの評価基準は、ISOやJISの規格になっており、第三者機関が審査する制度もあります。
 ISO・JISの規格には、
  ISO/IEC27001(JIS Q 27001)ISMSの要求事項
  ISO/IEC27002(JIS Q 27002)ISMSの実践規範
があります。「ISMSを実践している」ことを評価する項目が要求事項で、それを実現するためのポイントを示したのが実践規範です。
 そして、実際にISMSが実践されているかを第三者が評価する制度に、
  情報セキュリティ監査制度
  ISMS適合性認証制度
があります。


本シリーズの目次へ