ISMS

■チェック用語

・ISMS(Information Security Management System)
      情報セキュリティマネジメントシステム

      個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスク
      アセスメントにより必要なセキュリティレベルを決め、プランを持ち、
      資源配分して、システムを運用することです。

      1)機密性:アクセスを認可された者だけが、情報にアクセスできることを
        確実にすること。
      2)完全性:情報および処理方法が正確であること及び完全であることを
        保護すること。
      3)可用性:認可された利用者が、必要なときに、情報及び関連する資産に
        アクセスできること。

      を確実に行うことです。

      情報セキュリティポリシー(基本方針)を基に、
      PLAN:情報セキュリティ対策の具体的計画・目標を策定する。
      DO:計画に基づいて対策の実施・運用を行う。
      CHECK:実施した結果の点検・監視を行う。
      ACT:経営陣による見直しを行い、改善・処置する。
      このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上
      を図ります。

      PDCAサイクル
      http://www5f.biglobe.ne.jp/~h-it/mlcont/mc0026.htm#003

・ISMS適合性評価制度
      組織が構築したISMSが認証基準に適合しているか審査し登録する「審査登録
      機関」、
      その審査員になるために必要な研修を実施する「審査員研修機関」、
      及び審査員の資格を付与する「審査員評価登録機関」、
      そしてこれら各機関がその業務を行う能力を備えているかをみる「認定機関」
      からなる総合的な仕組みです。 

      2002年4月から本格運用が開始された、民間ベースによる第三者認証制度
      です。

・ISMS認証基準(Ver.2.0)
      適合評価基準は、英国規格BS 7799-2:2002に基づいています。
      ISMS認証基準Ver.2.0で使用している用語、表現は、日本での規格である、
      JIS X 5080:2002(国際規格ISO/IEC 17799:2000)との互換性を確保して
      います。

      JIS X5080
      http://www5f.biglobe.ne.jp/~h-it/mlcont/mc0008.htm#002
      BS7799規格
      http://www5f.biglobe.ne.jp/~h-it/mlcont/mc0008.htm#003

財団法人 日本情報処理開発協会 ISMS制度推進室
http://www.isms.jipdec.jp/index.html

■情報セキュリティの考え方
最近の情報セキュリティの考え方としては、技術対策(バックアップ、ウイルス
対策、暗号、ファイアウォールなど)も、もちろん必要なことではあるのですが、
そうした技術中心というよりは、情報全般を企業や組織の資産(情報資産)と
考え、それを保護することを情報セキュリティとして考えています。

ということから、コンピュータ内の情報はもちろんのこと、紙上での記録、人的な
ものとして、通勤電車内・給湯室・居酒屋などで会話される情報(仕事に関する)
といった情報までが保護対象範囲となります。

どんな情報があるのかを、洗い出し、それぞれに対しての対策を考え、それぞれ
リスク評価をすることが重要になってきます。

PDCAサイクルを運用することで、情報セキュリティを、計画、実装、監査、
改善する体制や仕組み、また継続的にセキュリティを改善、維持していく取り組み
が必要です。
継続的な取り組みができるよう、認証には有効期限があります。

[ Index ] [ Home ]