ISMS
■チェック用語
・ISMS(Information Security Management System)
情報セキュリティマネジメントシステム
個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスク
アセスメントにより必要なセキュリティレベルを決め、プランを持ち、
資源配分して、システムを運用することです。
1)機密性:アクセスを認可された者だけが、情報にアクセスできることを
確実にすること。
2)完全性:情報および処理方法が正確であること及び完全であることを
保護すること。
3)可用性:認可された利用者が、必要なときに、情報及び関連する資産に
アクセスできること。
を確実に行うことです。
情報セキュリティポリシー(基本方針)を基に、
PLAN:情報セキュリティ対策の具体的計画・目標を策定する。
DO:計画に基づいて対策の実施・運用を行う。
CHECK:実施した結果の点検・監視を行う。
ACT:経営陣による見直しを行い、改善・処置する。
このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上
を図ります。
PDCAサイクル
http://www5f.biglobe.ne.jp/~h-it/mlcont/mc0026.htm#003
・ISMS適合性評価制度
組織が構築したISMSが認証基準に適合しているか審査し登録する「審査登録
機関」、
その審査員になるために必要な研修を実施する「審査員研修機関」、
及び審査員の資格を付与する「審査員評価登録機関」、
そしてこれら各機関がその業務を行う能力を備えているかをみる「認定機関」
からなる総合的な仕組みです。
2002年4月から本格運用が開始された、民間ベースによる第三者認証制度
です。
・ISMS認証基準(Ver.2.0)
適合評価基準は、英国規格BS 7799-2:2002に基づいています。
ISMS認証基準Ver.2.0で使用している用語、表現は、日本での規格である、
JIS X 5080:2002(国際規格ISO/IEC 17799:2000)との互換性を確保して
います。
JIS X5080
http://www5f.biglobe.ne.jp/~h-it/mlcont/mc0008.htm#002
BS7799規格
http://www5f.biglobe.ne.jp/~h-it/mlcont/mc0008.htm#003
財団法人 日本情報処理開発協会 ISMS制度推進室
http://www.isms.jipdec.jp/index.html
■情報セキュリティの考え方
最近の情報セキュリティの考え方としては、技術対策(バックアップ、ウイルス
対策、暗号、ファイアウォールなど)も、もちろん必要なことではあるのですが、
そうした技術中心というよりは、情報全般を企業や組織の資産(情報資産)と
考え、それを保護することを情報セキュリティとして考えています。
ということから、コンピュータ内の情報はもちろんのこと、紙上での記録、人的な
ものとして、通勤電車内・給湯室・居酒屋などで会話される情報(仕事に関する)
といった情報までが保護対象範囲となります。
どんな情報があるのかを、洗い出し、それぞれに対しての対策を考え、それぞれ
リスク評価をすることが重要になってきます。
PDCAサイクルを運用することで、情報セキュリティを、計画、実装、監査、
改善する体制や仕組み、また継続的にセキュリティを改善、維持していく取り組み
が必要です。
継続的な取り組みができるよう、認証には有効期限があります。
[ Index ]
[ Home ]