なんとなくわかる「ISMS」

今日は情報セキュリティマネジメント試験の超重要とされる”情報セキュリティ管理”について触れていきます。とにかく覚える単語が多すぎます。。

スポンサーリンク

ISMS(情報セキュリティマネジメントシステム)

まず情報セキュリティ管理とは、

企業や会社などの組織が全体で行うセキュリティ対策の取り組みです。

1人1人が違うセキュリティの価値観で動いたら危ないからみんなで決まり作ってやっていきましょうねって感じですね。

内部の人間による意図的な不正だけでなく、うっかり起きてしまう偶発的な原因のセキュリティ事故をなくすためにもこの取り組みは重要性があります。

そこで、世界中のセキュリティのお偉いさんがルール、取り組みを定めたのがISMS(Information Security Management System)です。和訳は情報セキュリティマネジメントシステム。

このISMSを適切に導入している会社はISMS適合性評価制度という制度を受けてISMS認証というものを獲得することができる。

このISMS認証を獲得するメリットは

  • 企業でセキュリティ事故が発生するリスクが減少する
  • 従業員のセキュリティへの意識の向上や組織のセキュリティ対策の統制がとれる
  • 第三者からの信頼の向上

が考えられます。

ISMSは規格化され、世界共通の国際規格と国ごとで異なる国内規格に分かれています。それとは別に規格にはないがルールや取り組みとして定められているもの(ディファクトスタンダード)もある

国際規格

ISO/IEC27001・・・ISO(国際標準化機構)とIEC(国際電気標準化機構)が情報セキュリティマネジメントシステム(ISMS)に関して定めたもの

ISO/IEC 27017・・・上と同じ機関がISO27001の取り組みを強化してクラウドサービスに対応した情報セキュリティ管理体制を定めたもの

PDCAサイクル

この言葉は最近よく企業の研修や就活で聞くことがあるかと思います。(私は塾講師でこの言葉をいやというほど聞かされました。。)

PはPlan、DはDo、CはCheck、AはActからなる継続的な計画の見直しやレベルアップを図る方法です。

このサイクルは前述のISMSでも中核を担っており、

Plan・・・ISMSの決定

Do・・・ISMSの導入、運用

Check・・・ISMSの見直し、監視

Act・・・ISMSの維持、改善

に対応している。

ISMSはSGの午後問題では必須となる知識や考え方なので重点的に学んでいきたいと思います!

あと2ヶ月くらいなので少しずつペースを上げて勉強しないとな。。。

コメント

タイトルとURLをコピーしました