ISMSとは?図解で易しく解説

監修残田康平
著者:ISOプロ担当者
投稿日:
更新日:2020年05月18日

1.ISMSとは

情報セキュリティマネジメントシステム はInformation Security Management Systemの略称で、企業/組織における情報セキュリティを管理する仕組み(国際基準)のことです。ISMSの要求事項を定めた国際規格「ISO/IEC 27001」があり、日本語訳したものが「JIS Q 27001」です。

企業/組織は、ISMSの構築に取り組むことで、情報セキュリティ対策や適切な情報資産の管理体制(手順や運用方法)を整備することができます。その理由として、ISMSの構築では、ISO/IEC27001:2013(JIS Q 27001:2014)の要求事項に適合させる必要があり、「CIA」と呼ばれる3要素「機密性完全性可用性」のバランスを維持するようマネジメントシステムに取り組みますが、その成果として情報セキュリティを考慮した適切な情報資産管理が可能になります。なお、その際、各企業/組織の風土・事業内容・既存システム/ITインフラストラクチャ の利用状況、管理コスト、業務への影響など様々な角度から検討することが重要で、組織に合ったISMSを構築することで、より適切な リスクマネジメント が可能になります。

ISMSの三大要件

2.ISMS(ISO/IEC27001)の要求事項

ISO/IEC27001では、企業/組織が効率的にISMSの仕組みを構築し、適切な情報資産の管理策の整備と運用ができるよう要求しています。具体的には、以下の項目が要求事項としてあります。これら要求事項をPDCAと呼ばれる運用サイクルに落とし込んで情報セキュリティマネジメントを実施します。

【ISO/IEC27001:2013(JIS Q 27001:2014)の要求事項】

  • 0.序文
  • 1.適用範囲
  • 2.引用規格
  • 3.用語及び定義
  • 4.組織の状況
  • 5.リーダーシップ
  • 6.計画
  • 7.支援
  • 8.運用
  • 9.パフォーマンス評価
  • 10.改善
  • 附属書A

3.PDCAサイクルの実施

ISMSを導入後は、セキュリティポリシーに基づいて策定されたISMSマニュアルや社内規程により、情報セキュリティマネジメントのPDCAサイクルを実施し、継続的に見直し・改善を図り、運用実績の記録を残します。

1)計画(Plan)

ISMSを確立し、情報セキュリティの基本方針や対策基準を示した情報、適用範囲 の決定、情報資産の洗い出し、リスクアセスメント の定義、文書化の範囲/管理方法の決定など計画プロセスで実施します。情報資産に対するリスクアセスメント、重大なリスクが認められた資産に対する リスク対応 計画なども計画時に作成する必要があります。

2)運用(Do)

リスク対応計画、情報セキュリティ目的で定めた活動を実施していきます。計画を実施するために不足している資源があれば、新たに用意するであったり、教育・研修を行い、不足分を補う必要があります。

3)評価(Check)

ISMSの監視・レビューにおいて、ネットワーク機器・サーバー/情報システムなど出力ログを解析し、不正アクセス・システム障害などについて監視し、状況や問題点を確認します。また、内部監査を実施し、リスクアセスメントのレビューや管理策の有効性 評価、情報セキュリティポリシーおよびISMSについて評価します。

4)改善(Act)

ISMSの維持・改善において、監査結果や評価に基づき、改善策として是正処置の検討および実施、改善策の効果確認、情報セキュリティポリシーの見直し・改善を行います。是正処置などの機会で発見された改善点があれば、組織のルール変更や、認識しているリスク及び機会を見直すことも重要となってきます。

ISMSにおけるPDCA

4.期待される効果

ISMSを構築して適切に運用・維持することで、企業/組織が保有する情報資産に対するセキュリティ管理体制が整備され、情報漏洩やサイバー攻撃などの脅威や、不正アクセスへの対策を強化することができます。また、情報セキュリティポリシーについて組織の全社員に周知徹底・教育を行うことで、情報セキュリティに対する意識レベルが向上し、リスクアセスメントを有効に実施することが可能となり、職場 全体でリスクに対する認識を共有することができます。

ただし、必ずしもセキュリティを強化するだけでなく、システムを導入し今より使いやすくするなどの取り組みもリスク対応として考えられるため、仕事のやりやすさに繋がることもあります。

各社自主的な取り組みから、一定レベル(基準)のセキュリティ管理を目指す!

企業からの情報流出事件があとを絶たず、各社企業/組織ではISMS認証 を取得しないまでも、情報セキュリティへの自主的な取り組みを推進する企業が増えてきました。情報セキュリティ対策のレベルは各社様々ですが、さらにセキュリティ管理の一定レベル(基準)を目指しISO/IEC27001認証を取得して、新規取引先の開拓や、既存顧客・取引先との信頼関係の向上に繋げる企業も少なくありません。昨今では、情報セキュリティに対する取引先からの要求も強くなり、今後さらに企業の自主的取り組みに対する期待が高まってくることでしょう。

●留意事項

情報セキュリティの対策は対象範囲や対策内容によって、対策費用や業務の負荷が増大します。さらにISMS認証を取得・更新する場合、各種申請手続きや取得/更新費用(毎年)がかかります。ISMSを効率よく運用・維持するためには経営トップ(または役員)のコミットメント や推進体制が重要で、費用対効果について考慮します。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

この記事の監修者情報
残田康平 (ISOコンサルタント)
約5年間ISOコンサルティング会社で累計200社以上のISO構築に携わってきました。現在はISOプロのISOコンサルタントとして活動中。企業の得意・不得意を引き出しつつ、自社にピッタリなISOを構築することが得意です。これからISOに携わる人々にわかりやすい言葉で情報発信をしています。
ISO27001入門

【ISO27001入門】規格の詳細から要求事項・取得のノウハ…

インタビュー

タレント揃い!「人」にこだわるIT企業のISO導入成功の鍵

ISOプロ講座 HACCPプロ講座 HACCPセミナー マンガで分かるISOプロ お電話での問い合わせ コンサルタント募集
WEB相談