ISMSの概要
ISMSとは個別の技術対策だけでなく、組織のマネジメントとして、自らのリスクアセスメントにより、必要なセキュリティレベルを決め、プランを持ち、資源配分してシステムを運用することです。そして組織が保護すべき情報資産について、機密性・完全性・可用性をバランスよく維持し改善することが、ISMSの基本コンセプトです。
規格用語が難しいですが、簡単にいうと、
| 用語 | 規格での定義 | 要するに | 裏返せば |
|---|---|---|---|
| 機密性 Confidentiality |
認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性 | 必要な人しか使えないようにする | 漏れて困る (度合い) |
| 完全性 Integrity |
資産の正確さ及び完全さを保護する特性 | 改ざんや破壊されないようにする | 壊れて困る (度合い) |
| 可用性 Availability |
認可されたエンティティが要求したときに、アクセス使用が可能である特性 | 必要なときに使えるようにする | 使えなくて困る (度合い) |
ということです。ここで機密性と可用性は、相反する特性となることがあります。
情報とは、現代では従来型の人、物、金以上に重要な経営資源です。つまりそれを活用することで利益につなげられなければなりません。また、人が行う仕事の大半は、情報をインプットとして情報をアウトプットするものです。
漏らしちゃいけない、壊されちゃいけないということで金庫に鍵をかけてしまっておきましょうというわけにいきません。
そこで情報セキュリティについて、組織的にマネジメントするという考え方を導入するのです。
ISMSという言葉を紐解く
Information Security Management Systemとは、
情報(書類や電子データ等の内容)の
セキュリティ(漏洩、破壊や改ざん、使用不能状態に陥るような事態から守ること)についてマネジメント(管理・統制)するための
システム(組織的な仕組み)
です。
情報セキュリティについてマネジメントされている状態とは、全てのセキュリティ施策が実施済みであることが望ましいですが、ものによっては単年度予算や期間では手立てできないこともありえます。それらについて未対応の状態であっても、計画的に対応進行中であれば、それはマネジメントできているという見方になります。
ISMS適合性評価制度の概要
- 組織の仕組みがISO/IEC27001要求事項に適合していることを、第三者である認証機関が審査して、それを文書で保証する制度
- 認証機関は、その証として登録証を発行
- 認証された組織は、認証されたことを表すロゴマークを使用可能
