ISMSの取得を支援します ISMSコンサルタント/都城情報ビジネス

がんばれ!ISMS管理責任者

ISMSの意味

 企業や組織が自身の情報セキュリティを確保・維持するために、ルール(セキュリティポリシー)に基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する枠組みのこと。ISMSに求められる範囲は、ISO/IEC15408などが定めるような技術的な情報セキュリティ対策のレベルではなく、組織全体に渡ってセキュリティ管理体制を構築・監査し、リスクマネジメントを実施することである。

 ISMSをその組織が保持しているかどうかを第三者が認定する制度として「ISMS適合性評価制度」と呼ばれる――「情報処理サービス業情報システム安全対策実施事業所認定制度」に代わる、情報処理サービス業事業者に対するISO/IEC17799:2000およびBS7799-2:1999に基づいた――評価認定制度がある。現在、日本情報処理開発協会(JIPDEC)を中心に2002年より正式運用されている。

 ISMSの定義としてJIPDECは、「ISMSとは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することである」、また、「組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである」と設定している。

 また、ここでいう機密性・完全性・可用性とは、以下のような内容である。

  • 機密性
    アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
  • 完全性
    情報および処理方法が正確であることおよび完全であることを保護すること。
  • 可用性
    認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。
 ISMSの認定取得を希望する事業者は、JIPDECの指定する審査登録機関に、認定取得に当たっての申請を行い、ISMSに基づく審査と監査を行う。審査機関からの結果報告を受けて、JIPDECが事業者を認定済み事業者としての登録を行う。
2. ISMSのポイント

 ISO/IEC 27001では、組織においてISMSを確立、導入、運用、監視、見直し、維持し、かつそのISMSの有効性を改善する際に、プロセスアプローチを採用することを奨励している。
 ISMS基本方針を基に、
●Plan : 情報セキュリティ対策の具体的計画・目標を策定する。
●Do  : 計画に基づいて対策の導入・運用を行う。
●Check : 実施した結果の監視・見直しを行う。
●Act  : 経営陣による改善・処置を行う。
このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図る。

3. ISMSの確立

 ISMSの要求事項は、組織の自らの事業の活動全般及び直面するリスクを考慮して、文書化されたISMSを確立、導入、運用、監視、見直し、維持し、かつこれを継続的に改善することである。

 ISMSの確立にあたりISMSの適用範囲を定義(STEP1)し、ISMS基本方針を策定(STEP2)する。策定したISMSの適用範囲及び基本方針に基づき、リスクアセスメントの体系的な取組方法を策定(STEP3)する。保護すべき情報資産に対するリスクを識別(STEP4)し、リスクアセスメントを実施(STEP5)する。リスクアセスメントの結果、リスクの受容ができない場合にはリスク対応の選択肢を明確にし評価(STEP6)する。リスク対応に基づき、実施すべき管理目的と管理策を選択(STEP7)する。

附属書A「管理目的と管理策」
  1. セキュリティ基本方針
  2. 情報セキュリティのための組織
  3. 資産の管理
  4. 人的資源のセキュリティ
  5. 物理的及び環境的セキュリティ
  6. 通信及び運用管理
  7. アクセス制御
  8. 情報システムの取得、開発及び保守
  9. 情報セキュリティインシデントの管理
  10. 事業継続管理
  11. 順守

 附属書A「管理目的と管理策」にある全ての管理策が実施されなければならないわけではなく、リスクアセスメントに基づき、管理策を選択して実施できる。上記の管理策だけでなく、組織がリスクアセスメントやリスクマネジメントなどを通じて、必要と思われるより良い管理策を追加することができる。リスクアセスメントの結果、何が残留リスクなのか、残留リスクはどの程度あるのかを明確にした上で経営陣が承認し(STEP8)、ISMSを運用することを許可(STEP9)する。特に重要なことは、この選択については適用宣言書で明確に公表(STEP10)することにある。

(1)ISMSの適用範囲及び境界を定義する。 ISMSの適用範囲

(2)ISMSの基本方針を定義する。 基本方針文書

(3)リスクアセスメントの取り組み方法を定義する。 

     情報資産 脅威 ぜい弱性 影響

リスクマネジメント実施基準(組織の取組方法、分析手法、要求する保証レベル)

管理目的と管理策の候補リスト  ISMS基準にない追加の管理策のリスト

(4)リスクを特定する。 リスク一覧表 資産目録

(5)リスクを評価し分析をする。 リスクアセスメント結果報告

(6)リスク対応を行う。 リスク対応結果報告

(7)管理目的と管理策を選択する。 対策基準

(8)残留リスクを承認をする。 残留リスク承認記録

(9)ISMSの導入・運用を許可する。

(10)適用宣言書を作成する。 適用宣言書

ISO27001/ISMS取得の5つのメリット

ISO27001/ISMSを取得をすることで具体的には次のようなメリットがあります!

 1. 大切な“情報”を強固な体制で守ることができる!

 昨今の情報漏洩事件からもおわかりの通り”情報管理の未熟さ”は今後の経営を左右すると言っても過言ではありません。 ISO27001/ISMSを取得することにより、お客様の情報、会社所有の機密情報、従業員情報などの情報を適切に管理して、機密をしっかりと守るための仕組みを社内に作り上げることができます。

2. 対外的な信用の向上

“ISO27001/ISMS取得企業=情報を守ることができる企業”という証明であり、取引先条件において有利になる場合があります。また今後は行政機関の入札条件においてもISO27001/ISMS取得企業は優遇される可能性があり一部の業界において、ビジネスを営む上でISO27001/ISMS取得が必須になることが予想されます。

3.経営力の向上!

“情報を守るための管理体制”を社内に作り上げ、各管理者の責任・権限を具体的に定めることになります。管理者が会社全体の視野にたったうえで各々の役割を担うことにより、今まで以上に組織的な管理体制が作り上げられるため、経営力(組織力)が向上します。その他、方針・計画・見直し・教育なども必要になりますので、経営に必要な活動の基盤を強化することができます。

4.社員モラルの向上!

 経営者・管理者だけでなく社員ひとりひとりの“情報保護”に対する意識が高まり、情報保護やコンプライアンス(法令順守)に対する責任感が強まります。社員一人一人が、各々の扱う情報を会社全体の視点で責任を意識することになり社員モラルが向上します。

5.“情報”を経営に活かせるようになる!

 “情報”は保持・保護するだけでなく有効利用をすることで、お客様のニーズを把握した上での新規提案・サポートを提供できるなど、顧客満足を高めるために活用をすることができます。ISO27001/ISMS取得活動によって、経営者・管理者が今まで以上に情報への意識が高まりますので、情報を経営に活かせるような組織作りにつながります。

このページのTOPへ