ITエンジニアに必要な今を知れる情報メディア
ISMS(情報セキュリティマネジメントシステム)とは?概要や規格内容を解説
skill

ISMS(情報セキュリティマネジメントシステム)とは?概要や規格内容を解説

企業が持つ「情報」はいまや経営資源として扱われるようになり、その資源を管理する「情報セキュリティ」が多くの企業において課題となっています。

そこで重要視されているのが、ISMS(情報セキュリティマネジメントシステム)です。しかし、ISMSについて正確に理解できている方は少ないのではないでしょうか。

そこで今回は、ISMSについて企業や情報セキュリティ担当者が理解しておくべきポイントを解説します。

【関連記事】「情報セキュリティマネジメント試験とは?難易度や資格をとるメリットを紹介」

目次

1.情報セキュリティ(IS)の意味

情報セキュリティ(IS)とは、情報の機密性・完全性・可用性を確保することとされています。企業が持つ情報に対して特定の人のみがアクセスできる状態(機密性)、破壊・改ざん・消去がされておらず完全な状態(完全性)、必要な時に取り出して利用できる状態(可用性)を維持することが、情報セキュリティ対策の基本になります。

情報セキュリティについては以下の記事でも詳しく解説しています。ぜひ併せてご覧ください。

【関連記事】「情報セキュリティとは?トラブル事例や対策を怠るリスク、対策の具体例」

post404_img1.jpg

2.マネジメントシステム(MS)の意味

マネジメントシステム(MS)とは、企業の方針や目標を定め達成するための仕組みを指します。企業におけるセキュリティ方針やルール、またそれらをまとめたマニュアル、情報セキュリティ研修、内部監査などもマネジメントシステムの一部となります。

3.ISMS(情報セキュリティマネジメントシステム)とは

ISMSとは、ひと言でいうと「情報セキュリティを管理する仕組み」のことです。

ISMSでは、情報の機密性、完全性、可用性を維持し、適切に管理することが求められ、審査機関によって企業の情報セキュリティ管理体制がISMS認証基準を満たしていると認められれば、ISMS認証が付与されます。

post404_img2.jpg

3.1.Pマークとの違い

Pマークとは、企業が個人情報の管理について保護体制を構築し適切に運用していることを第三者機関が評価する制度です。

ISMSとPマークはよく混同されがちですが、ISMSは会社が保有する情報資産全般のセキュリティに重きを置いているのに対し、Pマークでは個人情報の保護に重点を置いています。また、ISMSは国際規格に基づいているのに対し、Pマークは日本独自の企画に基づくものとなります。

4.ISMSの国際規格「ISO/IEC 27001(JIS Q 27001)」について

ISO/IEC 27001(JIS Q 27001)とは、ISMSをどのように構築、実施、維持、改善すべきかをまとめた国際規格です。ISO(国際標準化機構)とIEC(国際電気標準会議)が共同でISO/IEC 27001を策定したため原文は英語ですが、これをJIS(日本産業規格)が日本語訳したものがJIS Q 27001となります。

企業のISMSに対してISMS認証機関がISO/IEC 27001に基づいて適切に運用・管理されているか審査し証明されれば、ISMS認証を取得することができます。

5.ISMS適合性評価制度とは

ISMS適合性評価制度とは、構築されたISMSがISO/IEC 27001(JIS Q 27001)に適合しているかを第三者機関によって評価し認証する制度のことです。組織のISMSを審査する「認証機関」、認証審査が適切に実施できることを審査し確認する「認定機関」、認証審査に関する審査員を認証・登録する「要員認証機関」から構成されています。

6.ISMS認証の取得方法

ISMS認証の取得は、主に以下のような流れで進められます。

6.1.方針・体制・適用範囲の決定

まずは、会社での情報セキュリティに関する方針や、ISMSの体制、適用範囲を決定します。情報保護と効率性のどちらに重点を置くかといった方針や、社内全体で取得するのか部署ごとに取得するのかといった適用範囲、体制などをさまざまな点から考慮しましょう。あわせて、管理者や監査責任者などを決定しISMSの体制を確立させます。

6.2.現状の把握

次に、現在の組織の状況を把握します。情報資産の機密性・完全性・可用性を維持するうえでのリスクやその影響を洗い出し、対応方針を決定します。

6.3.文書化

管理目的や管理策に関するマニュアルなど、ISMSを運用・管理するために必要な規定や手順類を文書化します。

6.4.運用

自社のISMSに関係する従業員に対して教育を実施し、マネジメントシステムを運用することで理解を深めることができ定着していきます。また、情報セキュリティプロセスや管理策の有効性の評価も要求されるため、経営者は運用状況の報告を受け評価や改善指示などのマネジメントレビューを実施します。こうしたマネジメントシステムの運用も文書化し保存します。

6.5.審査

ISMS認証の審査は、文書審査と実地審査の2段階の審査を経ることになります。文書審査では、ISMSについて規定した各種文書がISMS認証の規格要求事項に沿っているかが確認されます。実地審査では現場での実施状況が確認されます。これらの審査を経て、不適合があれば是正処置を書面にて報告し、処置内容が問題ないと判断されれば認証となります。

7.ISMSは取得して終わりではない

ISMS認証が完了するまでにはおおよそ半年から1年ほどの時間を要しますが、ISMSを取得したらそれで安心というわけにはいきません。巧妙化するサイバー攻撃や情報漏えいなど、セキュリティリスクは常に発生する可能性があるため、最新の情報を取り入れアップデートしていく必要があります。

8.「情報セキュリティマネジメント試験」について

情報セキュリティマネジメント試験とは、独立行政法人情報処理推進機構(IPA)が運営する国家試験です。"情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、セキュリティの脅威から継続的に組織を守るための基本的なスキルを認定する試験"となっています。

受験資格は特にありませんが、特にISMSに関わる方であればその基本的な知識が問われる試験であるため、受験してみることをおすすめします。

9.まとめ

今回は、ISMSについて企業が理解しておくべきポイントについて解説しました。

オンライン化が急速に進む中、情報セキュリティの重要性はますます高まっています。また個人情報保護の気運も世界的に高まっており、CSRやESGの一環としてISMSを構築・導入する企業も増えています。今後の情報セキュリティ体制の確保において、ISMSは大きな価値のあるシステムの一つなのです。

この記事はどうでしたか?

おすすめの記事

エンジニア向け求人特集

BACK TO TOP ∧

FOLLOW