【図解】ISMS規格の概要についてわかりやすく解説
- ISMSとは、企業/組織における情報セキュリティを管理する仕組み(国際基準)のこと
- ISMSに重要な要素はPDCAサイクル
ISMSとは
ISMS とは情報セキュリティマネジメントシステム(Information Security Management System)の略称で、組織の情報資産を保護する上で、組織を効率的に指揮する仕組みのことです。もう少し噛み砕くと、ISMSとは情報セキュリティという組織の取り組みを効率的に行うための組織内のルールや業務フローのことです。
組織は有効なISMSを構築することで以下のようなメリットを得ることが可能です。
- リスクの取捨選択による経費削減
- 社内教育体制の確立
- 情報セキュリティ水準の継続的改善
- 情報セキュリティリスク低減による事業の持続化
ISMS規格とは
さて、そんなISMSには規格 というものが存在します。ISMS規格とは、ISMSを構築するためのガイドラインのような役割を果たすもので、規格は様々な要求を組織のISMSに対して行います。例えば「リスクアセスメント を実施すること」とか「情報セキュリティ目的 を決定し、文書化すること」といった要求です。こういった規格の要求のことを要求事項 と言いますが、組織は要求事項を満たしたISMSを構築することで、効率的に有効なマネジメントシステムを構築することが可能なのです。
例えばISMSの代表的な規格はISO27001 というものがあります。企業/組織は、ISO27001にそったマネジメントシステムの構築に取り組むことで、情報セキュリティ対策や適切な情報資産の管理体制(手順や運用方法)を整備することができます。
ISO27001規格では「CIA」と呼ばれる3要素「機密性 ・完全性 ・可用性」のバランスを維持するようマネジメントシステムに取り組みます。その成果として情報セキュリティを考慮した適切な情報資産管理が可能になるのです。なお、その際、各企業/組織の風土・事業内容・既存システム/ITインフラストラクチャ の利用状況、管理コスト、業務への影響など様々な角度から検討することが重要で、組織に合ったISMSを構築することで、より適切な リスクマネジメント が可能になります。
ISMS規格の要求事項
ISO/IEC27001では、企業/組織が効率的にISMSの仕組みを構築し、適切な情報資産の管理策の整備と運用ができるよう要求しています。具体的には、以下の項目が要求事項としてあります。これら要求事項をPDCAサイクルと呼ばれる運用サイクルに落とし込んで情報セキュリティマネジメントを実施します。
0.序文 |
規格序文では具体的な要求はなく、規格のISMSに対する考え方や読み方について記載されています。 |
---|---|
1.適用範囲 |
適用範囲とはISMSが有効に機能する範囲のことです。ISO27001規格では組織内外の状況や顧客ニーズに応じて適用範囲を自由に決定することが可能です。 |
2.引用規格 |
この項では、規格が引用する文書が記載されています。ISO27001の場合はISO27000(用語集)が索引されていますので、一読しておくと良いでしょう。 |
3.用語及び定義 |
用語の定義に関しては前項にもあったISO27000でされています。 |
4.組織の状況 |
この項から本格的に要求事項が記載され始めます。4項では組織内外の状況や利害関係者のニーズの把握を行った上で適用範囲を決定を行うことを要求しています。 |
5.リーダーシップ |
ISO27001では、トップマネジメント主導によるISMSの構築を要求しており、本項ではトップマネジメントが実施すべき様々な事項が記載されています。 |
6.計画 |
ISO27001ではPDCAサイクルによる継続的な改善を要求していますが、そのPの部分であるISMSで計画を策定する際の要求事項が記載されています。 |
7.支援 |
ISMSの確立に際して、組織が実施すべき構成員への支援(教育など)に関する要求がされています。 |
8.運用 |
PDCAのD(実行)の部分に関する要求がされています。 |
9.パフォーマンス評価 |
PDCAのC(確認)の部分に関する要求がされています。ISMS構築において非常に重要な役割を担う項です。 |
10.改善 |
是正処置やリスク及び機会、規格不適合があった場合の対処などに関する要求がされている項です。 |
附属書A |
附属書Aとは、ISO27001規格のISMSの具体的な管理策を定める項目をまとめたものです。 |
PDCAサイクルの実施
ISMSを導入後は、セキュリティポリシーに基づいて策定されたISMSマニュアルや社内規程により、情報セキュリティマネジメントのPDCAサイクルを実施し、継続的に見直し・改善を図り、運用実績の記録を残します。
計画(Plan)
ISMSを確立し、情報セキュリティの基本方針や対策基準を示した情報、適用範囲の決定、情報資産の洗い出し、リスクアセスメントの定義、文書化の範囲/管理方法の決定など計画プロセスで実施します。情報資産に対するリスクアセスメント、重大なリスクが認められた資産に対するリスク対応計画なども計画時に作成する必要があります。
運用(Do)
リスク対応計画、情報セキュリティ目的で定めた活動を実施していきます。計画を実施するために不足している資源があれば、新たに用意するであったり、教育・研修を行い、不足分を補う必要があります。
評価(Check)
ISMSの監視・レビューにおいて、ネットワーク機器・サーバー/情報システムなど出力ログを解析し、不正アクセス・システム障害などについて監視し、状況や問題点を確認します。また、内部監査を実施し、リスクアセスメントのレビューや管理策の有効性 評価、情報セキュリティポリシーおよびISMSについて評価します。
改善(Act)
ISMSの維持・改善において、監査結果や評価に基づき、改善策として是正処置の検討および実施、改善策の効果確認、情報セキュリティポリシーの見直し・改善を行います。是正処置などの機会で発見された改善点があれば、組織のルール変更や、認識しているリスク及び機会を見直すことも重要となってきます。
ISMS規格によって期待される効果
ISMSを構築して適切に運用・維持することで、企業/組織が保有する情報資産に対するセキュリティ管理体制が整備され、情報漏洩やサイバー攻撃などの脅威や、不正アクセスへの対策を強化することができます。また、情報セキュリティポリシーについて組織の全社員に周知徹底・教育を行うことで、情報セキュリティに対する意識レベルが向上し、リスクアセスメントを有効に実施することが可能となり、職場 全体でリスクに対する認識を共有することができます。
ただし、必ずしもセキュリティを強化するだけでなく、システムを導入し今より使いやすくするなどの取り組みもリスク対応として考えられるため、仕事のやりやすさに繋がることもあります。
企業からの情報流出事件があとを絶たず、各社企業/組織ではISMS認証 を取得しないまでも、情報セキュリティへの自主的な取り組みを推進する企業が増えてきました。情報セキュリティ対策のレベルは各社様々ですが、さらにセキュリティ管理の一定レベル(基準)を目指しISO/IEC27001認証を取得して、新規取引先の開拓や、既存顧客・取引先との信頼関係の向上に繋げる企業も少なくありません。昨今では、情報セキュリティに対する取引先からの要求も強くなり、今後さらに企業の自主的取り組みに対する期待が高まってくることでしょう。
●留意事項
情報セキュリティの対策は対象範囲や対策内容によって、対策費用や業務の負荷が増大します。さらにISMS認証を取得・更新する場合、各種申請手続きや取得/更新費用(毎年)がかかります。ISMSを効率よく運用・維持するためには経営トップ(または役員)のコミットメント や推進体制が重要で、費用対効果について考慮します。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい