ISO NEXT
ISOコンサルタント/個人情報保護士/ISO9001審査員補/ISO14001審査員補
結石 一樹 KEISHI KAZUKI
ISMS(情報セキュリティマネジメントシステム)とは「Information Security Management System」の略称です。
ISMSは組織が情報の安全性を確保し、適切な対策を講じるための仕組みやアプローチのことを指します。
INDEX
ISMSとは、「Information Security Management System」の略称です。情報セキュリティマネジメントシステムのことを指します。
ISMSとは、組織が情報の安全性を確保し、適切な対策を講じるための仕組みやアプローチのことです。
組織内での情報の取り扱いに関するルールや手順を整備し、情報の機密性や完全性、可用性を保護するための体系的なシステムです。
ISMSは、情報セキュリティマネジメントシステムのことを指します。該当する国際認証規格は、”ISO27001”です。
ISO27001の他にも、関連するISO規格が存在します。
国際標準化機構(ISO)と国際電気標準会議(IEC)によって制定された、情報セキュリティマネジメントシステムのための国際規格です。
ISO/IEC27001は、情報セキュリティに関するポリシーやプロセスの確立、リスクアセスメントおよびリスク管理、セキュリティ対策の実施などを含む要求事項を定めています。
組織がこの規格に準拠してISMSを構築し、運用していることを証明することで、信頼性やセキュリティ対策の品質を示すことができます。
これらはクラウドコンピューティングに関連する情報セキュリティ規格です。
ISO/IEC27017はクラウドサービスのセキュリティに関するガイダンスを提供し、ISO/IEC27018はクラウドサービスにおける個人情報の保護に特化したガイドラインを提供します。
多くの国や地域で、独自のISMS認証制度が存在します。
これによって、組織は第三者機関による審査や評価を受けて、ISMSの実施や運用の妥当性を証明することができます。
例えば、日本ではJISQ27001として、ISO/IEC27001と同等の評価基準が用意されています。
これらの規格や評価制度は、組織がISMSを構築し、運用する際のガイドラインとして重要な役割を果たしています。
プロのコンサルタントに相談する
ISMSは概念やアプローチを示し、ISO/IEC27001とJIS27001は具体的な実装と認証のための規格として役立ちます。
ISMSは情報セキュリティの管理アプローチであり、ISO/IEC27001はその具体的な要求事項を定めた国際規格です。
JISQ27001はISO/IEC27001と同等の内容を持つ日本の規格であり、日本国内での情報セキュリティマネジメントに関する要件を規定しています。
ISO/IEC27001とJISQ27001は、両者が同等の評価基準を持つため、日本国内で情報セキュリティマネジメントの認証を受ける際には、JISQ27001を利用することが一般的です。
ISMS適合性評価制度とは、組織が情報セキュリティマネジメントシステムを適切に実施し、要求事項に適合していることを評価・証明するための仕組みです。
この制度は、第三者機関による審査や評価を通じて、組織のISMSの運用やセキュリティ対策が適切であることを確認し、信頼性や信用を向上させる役割を果たします。
ISMS適合性評価制度によって、組織は情報セキュリティマネジメントの実施と運用の適切性を第三者から評価・証明されることで、取引先や顧客との信頼関係を築き、情報セキュリティに対する信頼性を高めることができます。
ISMSは情報セキュリティ全般を管理するシステムであり、Pマークは個人情報保護に特化した認証マークです。
ISMSは、情報セキュリティ全般を対象とするマネジメントシステムです。
組織内の情報資産を適切に保護し、セキュリティ対策を体系的に実施する仕組みを整備することを目的としています。
一方で、Pマークは主に個人情報保護に焦点を当てた認証マークであり、個人情報の適切な取り扱いを保証するための基準をクリアした組織に与えられます。
Pマークは、組織の個人情報保護への取り組みを顧客や利用者に示すために利用されます。
情報セキュリティとは、情報資産や情報システムを機密性、完全性、可用性の観点から保護し、不正アクセスやデータ漏洩、サイバー攻撃などの脅威から守るための取り組みや対策のことです。
組織が情報を適切に管理し、不正利用や損失を防ぐために必要な方針、プロセス、技術、管理体制を含む総合的なアプローチを指します。
⑴機密性
情報が許可された人や組織以外に漏れないように保護すること。
⑵完全性
情報が正確であり、改ざんされていないことを保証すること。
⑶可用性
情報が必要なときに利用可能であることを保証すること
マネジメントシステムとは、組織が目標を達成し、業務を効果的に遂行するために必要なプロセスや方針、手順、方法論などを組み合わせた体系的なアプローチを指します。
ISMS(情報セキュリティマネジメントシステム)認証を取得する企業の増加には、いくつかの背景要因が存在します。
近年、サイバーセキュリティに関する脅威や攻撃が増加しており、組織や個人のセキュリティ意識が高まっています。組織は情報漏洩やデータ侵害などのリスクに対処するために、ISMSを導入してセキュリティ対策を強化しようとする動きが増えています。
多くの国や地域で、個人情報保護やデータセキュリティに関する法的要件や規制が強化されています。企業はこれらの法的要件を遵守し、個人情報の適切な保護やセキュリティ対策を実施する必要があり、ISMS認証を取得することでその遵守を証明することができます。
ISMS認証は、顧客や取引先に対して情報セキュリティへの取り組みや信頼性を示す手段となります。認証を取得することで、企業は情報セキュリティに対する取り組みを公的に証明し、顧客からの信頼を高めることができます。
グローバルなビジネス環境では、異なる国や地域の情報セキュリティ基準や規制に対応する必要があります。ISO/IEC 27001などの国際的なISMS規格を適用することで、異なる国での取引や提携においてもセキュリティの共通基準を持つことができます。
データ漏洩やサイバー攻撃などのリスクは組織にとって大きな懸念事項です。ISMS認証を取得することで、リスク管理のプロセスを体系的に導入し、リスク軽減のための対策を実施する仕組みを構築できます
これらの要因が重なり合い、情報セキュリティの重要性が高まる中で、ISMS認証を取得する企業が増加していると言えます。
ISMS認証を取得することで、顧客や取引先からの信頼を獲得しようとする姿勢が見られます。
情報セキュリティへの取り組みが外部から評価されることで、ビジネスの信頼性を高めることができます。
ほとんどの企業が、顧客要求や顧客からの信頼を得るためにISMS認証を取得しています。
ISMS認証を取得した企業は、自社の公式ウェブサイトなどで認証の情報を公開することがあります。
ISMS認証を行う認証機関(認定機関)のウェブサイトにアクセスし、認証を取得した企業のリストやデータベースを探すことができます。
認証機関のウェブサイトは、公開情報として企業の認証ステータスを提供していることがあります。
セキュリティ向上、信頼性と信用、顧客要求への対応、競争優位の獲得などがあげられます。
導入コストと労力、時間工数、維持費用、過度な規制への縛り、誤解や誤解釈などがあげられます。
ISMS認証の取得を検討する際には、これらのメリットとデメリットを総合的に評価し、組織のニーズや状況に合った判断を行うことが重要です。
情報セキュリティの大切な三要素、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を「CIA」と呼ばれる略語で表現します。
これらの要素をバランスよく考慮し、情報セキュリティ対策を実施することで、組織は情報資産を適切に保護し、セキュリティリスクを最小限に抑えることができます。
情報セキュリティにおける「リスク」とは、ある脅威(threat)が特定の脆弱性(vulnerability)を突いて発生する可能性があり、その結果、情報資産やシステムに損害や被害が生じるおそれがある状況を指します。
リスクは、脅威、脆弱性、影響(impact)の三つの要素が組み合わさったものです。
組織内外で発生する可能性のあるリスクを特定し、それらのリスクがもたらす影響や深刻度を評価するためのプロセスです。リスクを理解することで、優先順位を付けて対策を取ることができます。
特定したリスクに対して適切な対策を講じるプロセスを指します。
リスク対応の目的は、リスクの影響を軽減したり防止したりすることで、組織の安定性や持続可能性を確保することです。
Plan(計画):情報資産の洗い出し、リスクの検討を行います。
Do(実行):リスク対策の実施
Check(評価):リスク対策が問題なく機能しているかの確認をします。
Act(改善):確認した結果、対策が不十分かもしれない、+αの対策が必要など改善計画を立てます。
ISMSの要求事項を定めた規格であり、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供することを目的として作成されています。
以下の構造で構成されています。
1.適用範囲
2.引用規格
3.用語及び定義
4.組織の状況
5.リーダーシップ
6.計画
7.支援
8.運用
9.パフォーマンス評価
10.改善
どのような組織であっても必ず適用させる事が必要な要求事項(本文)と、事業の特性により適用除外が可能である要求事項(附属書Aの管理策)で構成されており、広く利用可能な基準としてあらゆる組織に適用できるよう配慮されています。
適用の理由、提要除外の理由は適用宣言書に記載しなければなりません。
※適用宣言書:情報セキュリティマネジメントシステム(ISMS)の一部であるISO/IEC27001やJISQ27001の要件をどのように適用するかを文書化したもの。
ISMS認証にかかる費用は、審査費用だけでなく、自社で行う場合は内部の人件費、コンサル会社を使う場合は、コンサルティング費用がかかります。
組織の規模や業界によって異なるだけでなく、対応する規格や認証機関の選択によっても大きく変わります。組織は事前に十分なリサーチを行い、専門家と相談しながら、予算を計画することが重要です。
ISMS認証の取得には、準備期間や審査期間、認証取得のプロセスなどが含まれ、半年から1年以上の期間がかかることが一般的です。
・ISMS認証取得の範囲を決めます。対象となる部門や業務を決める必要があります。
・情報セキュリティマネジメントの責任者を選定し、メンバー選定を行います。
・情報セキュリティ方針の策定やリスクアセスメント、セキュリティ対策の計画、マニュアルなどを文書化します。
・マニュアルや規程に沿って、運用を行い、教育や内部監査等を行います。
・認証機関の審査員が現地へ出向き、実際の情報セキュリティ対策の運用状況を評価します。
情報セキュリティの維持と改善を通じて持続的な努力が求められます。
そのため、ISMS認証は「取得して終わり」ではありません。構築したISMS体制を運用していくことが大事なのです。
ISMSの仕組み作りは、組織にあったルールを策定しましょう。
規模や業種によって必要なルールや基準があります。組織にとって、本当に必要なルールなのかどうかを検討し運用しましょう。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。