情報セキュリティマネジメントシステム(ISMS)とは

2006年2月7日

1. ISMSとは

 情報セキュリティの問題として、インターネット上のホームページの改ざん、ハードウェア/ ソフトウェアのトラブルや関係者による情報の漏洩などが存在しており、それら個別の技術対策 は様々であり、それぞれのレベルで実施されていると思われる。

 ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより 必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。

 組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが 情報セキュリティマネジメントシステム(ISMS)の基本コンセプトである。(ISO/IEC 13335-1:2004より引用)
●機密性:認可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性。
●完全性:資産の正確さ及び完全さを保護する特性。
●可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。  

2. ISMSのポイント

 ISO/IEC 27001では、組織においてISMSを確立、導入、運用、監視、見直し、維持し、かつそのISMSの有効性を改善する際に、プロセスアプローチを採用することを奨励している。
 ISMS基本方針を基に、
●Plan : 情報セキュリティ対策の具体的計画・目標を策定する。
●Do  : 計画に基づいて対策の導入・運用を行う。
●Check : 実施した結果の監視・見直しを行う。
●Act  : 経営陣による改善・処置を行う。
このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図る。

3. ISMSの確立

 ISMSの要求事項は、組織の自らの事業の活動全般及び直面するリスクを考慮して、文書化されたISMSを確立、導入、運用、監視、見直し、維持し、かつこれを継続的に改善することである。

 ISMSの確立にあたりISMSの適用範囲を定義(STEP1)し、ISMS基本方針を策定(STEP2)する。 策定したISMSの適用範囲及び基本方針に基づき、リスクアセスメントの体系的な取組方法を策定(STEP3)する。保護すべき情報資産に対するリスクを識別(STEP4)し、リスクアセスメントを実施(STEP5)する。リスクアセスメントの結果、リスクの受容ができない場合にはリスク対応の選択肢を明確にし評価(STEP6)する。リスク対応に基づき、実施すべき管理目的と管理策を選択(STEP7)する。

附属書A「管理目的と管理策」
  1. セキュリティ基本方針
  2. 情報セキュリティのための組織
  3. 資産の管理
  4. 人的資源のセキュリティ
  5. 物理的及び環境的セキュリティ
  6. 通信及び運用管理
  7. アクセス制御
  8. 情報システムの取得、開発及び保守
  9. 情報セキュリティインシデントの管理
  10. 事業継続管理
  11. 順守

 附属書A「管理目的と管理策」にある全ての管理策が実施されなければならないわけではなく、リスクアセスメントに基づき、管理策を選択して実施できる。上記の管理策だけでなく、組織がリスクアセスメントやリスクマネジメントなどを通じて、必要と思われるより良い管理策を追加することができる。リスクアセスメントの結果、何が残留リスクなのか、残留リスクはどの程度あるのかを明確にした上で経営陣が承認し(STEP8)、ISMSを運用することを許可(STEP9)する。特に重要なことは、この選択については適用宣言書で明確に公表(STEP10)することにある。

[Home]
Last modified: Wed Oct 17 16:23 JST 2007
Copyright © 2000-2010 JIPDEC All Rights Reserved.