なんとなくわかる「ISMS」

スポンサーリンク

ISMS(情報セキュリティマネジメントシステム)とは

まず情報セキュリティ管理とは、企業や会社などの組織が全体で行うセキュリティ対策の取り組みです。

1人1人が違うセキュリティの価値観で動くと誰かの価値観が低いことによってセキュリティインシデントが発生する可能性が高くなります。

内部の人間による意図的な不正だけでなく、うっかり起きてしまう偶発的な原因のセキュリティ事故をなくすためにもこの取り組みは重要性があります。

組織内のルール、取り組みを定めたのがISMS(Information Security Management System)です。和訳は情報セキュリティマネジメントシステム。

このISMSを適切に導入している会社はISMS適合性評価制度という制度を受けてISMS認証というものを獲得することができる。

このISMS認証を獲得するメリットは

  • 企業でセキュリティ事故が発生するリスクが減少する
  • 従業員のセキュリティへの意識の向上や組織のセキュリティ対策の統制がとれる
  • 第三者からの信頼の向上

が考えられます。

ISMSは規格化され、世界共通の国際規格と国ごとで異なる国内規格に分かれています。それとは別に規格にはないがルールや取り組みとして定められているもの(ディファクトスタンダード)もある

国際規格

ISO/IEC27001・・・ISO(国際標準化機構)とIEC(国際電気標準化機構)が情報セキュリティマネジメントシステム(ISMS)に関して定めたもの

ISO/IEC 27017・・・上と同じ機関がISO27001の取り組みを強化してクラウドサービスに対応した情報セキュリティ管理体制を定めたもの

PDCAサイクル

PはPlan、DはDo、CはCheck、AはActからなる継続的な計画の見直しやレベルアップを図る方法です。

このサイクルは前述のISMSでも中核を担っており、

Plan・・・ISMSの決定

Do・・・ISMSの導入、運用

Check・・・ISMSの見直し、監視

Act・・・ISMSの維持、改善

に対応している。

コメント

タイトルとURLをコピーしました