ISMS認証の基本を抑えよう!情報セキュリティマネジメントシステムとは?

326

ISOに続き、企業に求められるISMS認証というものを聞いたことがあるという方は多いでしょう。

しかし、情報セキュリティに関する認証であるという情報だけで、「実際はどのような認証であり、どういったことが求められているのか?」分からない方がほとんどだと思われます。

では、ISMS認証を取得することで、企業にどのようなメリットがあるのでしょうか。ここでは、ISMSに関する概要や要件などについて、詳しく解説いたします。

ISMS(情報セキュリティマネジメントシステム)とは

ISMS認証とは、「情報セキュリティマネジメントシステム」の略称です。

近年のITの発達により、企業はオンライン上やシステム上にデータとしてさまざまな情報を保持しています。

しかし、技術の発展に伴って、悪意のある第三者からの不正アクセスや、コンピューターウイルスなどの被害、そして内部からの不正行為者や出入り業者によって、大切なデータを漏えいしてしまう事件が後を絶ちません。

情報を漏えいしてしまうと、社内の機密データが流出するだけではなく、企業における社会的な信用失墜のリスクなどに晒されることになるでしょう。

企業はISMSにより、これら情報セキュリティに関する脅威に対してリスクアセスメントを行い、企業全体として十分な情報セキュリティシステムを構築する必要があるのです。

ISMSとは、脅威に対する個別の対処だけでなく、組織全体のマネジメントの一つとして、自信のリスクアセスメントによるセキュリティレベル決定、プランを作り、企業資源の配分によってシステムを運営することを言います。

ISMSでは、リスクマネジメントプロセスを有効に活用することで、自社内の情報の機密性、完全性、そして可用性を維持・改善し、利害関係者に対してリスクを適切に管理していることが求められています。

情報セキュリティの三要件とは

情報セキュリティにおける、最も重要かつ基本的な事項として、次の「三要件」があります。

機密性

機密性とは、簡単に言うとアクセス制限のことです。「ある情報へのアクセスに関して、特定の人だけが許可されているのか?」という意味になります。社内や外部など、誰もがその情報に対してアクセスできる状態であると、機密性は低いと言えるでしょう。

完全性

「保存されている情報が、常に正確な状態を維持しているか?」ということを示します。常に適切に管理されており、情報の正確さが求められています。保存された情報が間違っていると、その情報の意味がなくなってしまうのです。

可用性

「その情報が、いつでも使える状態にあるか?」ということを示しています。どれだけ重要なデータであっても、誰も使えないような状態では、そのデータを保有している意味がありません。業務にも支障をきたすことでしょう。

このように、「機密性」「完全性」「可用性」の3つが情報セキュリティにおける三要件であり、ISMS認証を取得するためには、これらがバランスよく確保されている状態であることが求められています。

ISMSの国際規格

ISMS認証には、国際規格があります。単に、情報セキュリティに対して対策をとるだけであれば、認証を受けなくても構いません。

しかし、顧客などに対して適切に情報セキュリティ対策していることを証明するには、国際規格の認証が一つの証明方法といえるでしょう。

ISMSでは、主にISO27001と呼ばれる国際規格があります。

国際標準化機構(ISO)と国際電気標準会議(IEC)が作成している規格です。一言でISMSといっても、具体的にどのように対策すればいいのか分からないという方が、非常に多くいらっしゃいます。

そのような場合でも、国際規格に示している手順や方法に沿って構築していくことで、情報セキュリティ対策をしていくことができるでしょう。

そして、ISMS認証機関と呼ばれる機関に、規格に沿って構築されているかどうかを審査してもらうことで、ISMS認証を取得することができるのです。

ちなみに、日本にはISO27001を日本語訳したJIS Q 27001というものが存在しているのですが、実質的には同じものとなっています。

なお、国際規格であるISO27001については、より詳細な情報を「ISMS認証とISO27001は一緒なのか?」でご紹介しています。詳細な情報はこちらの記事を参照ください。

まとめ

近年、ITの発展は目覚ましいものがあり、多くの重要な情報がデータとして保持されています。

しかし、これらの情報が悪意のある第三者の攻撃によって、情報漏えいの危険に晒されています。

ISMS認証とは、これらの脅威から企業全体のマネジメントの一つとして、情報セキュリティマネジメントシステムを構築し認証を受けることなのです。

情報セキュリティには、機密性・完全性・可用性の三要件があり、これらをバランスよく確保されている状態にすることが必要です。

適切にこれらを確保するために、ISO27001などの国際規格で定められている手順や方法に沿って構築していきましょう。

構築した情報セキュリティマネジメントシステムが、ISMS認証機関の審査を受け承認されることで、ISMS認証を取得できます。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

関連するおすすめ記事