「ISMS」は「Information Security Management System」の略で、情報セキュリティマネジメントシステムともいう。

では、このISMSとは一体何を指すのだろうか。

ISMSとは

情報セキュリティマネジメントは、情報資産に対するあらゆる脅威を防止し、機密性、完全性、可用性を維持するものだ。

この継続的に改善を繰り返す部分をさらに強化したものをISMSと言い、ISMSはPDCAを繰り返すことで運用していく。

情報セキュリティマネジメントにおけるPDCAは次のとおり。

Plan(計画)

  • 推進計画の策定
  • リスクアセスメント(リスクを分析し評価する)
  • 情報セキュリティポリシや規程の策定

Do(運用)

  • セキュリティ対策の実施、運用
  • 情報セキュリティインシデント管理(セキュリティ事件や事故に対する管理)
  • 情報セキュリティに関する教育、訓練
  • コンプライアンスの遵守

Check(評価)

  • 各セキュリティ対策が適切に行われているかの監視、測定、評価
  • 内部監査
  • マネジメントレビュー(経営陣がISMSの更なる改善に向けた意思決定を行う)

Action(改善)

  • 発生した問題に対する是正措置(再発防止策)

ISMSに関する規格・制度

ISMSは「ISO 27000」シリーズとして国際標準化されている。

組織がISMSを構築するために求められる事項を「要求事項」と言い、「ISO 27001」がその国際標準となっている。
また、「JIS Q 27001」として日本でもJIS化されている。

その他の関連規格は次のとおり。

ISO / IEC 27002

ISMSのベストプラクティスとなる国際標準化された規格で、日本でも「JIS Q 27002」としてJIS化されている。

ISO / IEC 27014

情報セキュリティガバナンスの国際規格で、社会的責任に配慮したコーポレートガバナンス及び、それを支える内部統制の仕組みについて企業内で情報セキュリティの観点から構築・運用すること、として定義されている。

情報セキュリティポリシ

組織として統一された情報セキュリティ対策を実施するために、技術的対策だけでなくシステムの利用や運用面、組織の体制など、基本的なセキュリティ方針を明確にしたものを「情報セキュリティポリシ」と言う。

情報セキュリティポリシは以下の3つで構成されるが、通常は上の2つを指すことが多いようだ。

情報セキュリティ基本方針

組織としての情報セキュリティに関する取り組み方針を経営トップの方針として示す。
経営トップは、どうしてそのような取り組みが必要かを全社員に説明する必要がある。

情報セキュリティ対策基準

基本方針に基づき、どの情報資産をどのような脅威からどの程度守るのか、具体的な対策方法や判断基準を設ける。

情報セキュリティ対策実施手順

対策基準に定められた内容を、具体的な業務や情報システムにおいて、どのような手順で実行していくのかを示す。

実際に組織で運用する情報セキュリティ諸規定には、次のようなものが挙げられる。

情報管理規定、機密管理規定、文書管理規定、ウイルス感染時の対応規定、事故への対応規定、情報セキュリティ教育の規定、プライバシーポリシー、雇用契約、職務規定、罰則の規定、対外説明の規定、例外の規定、規則更新の規定、既定の承認手続き

ISMSへの対応には強いリーダーシップが必要

ISMSや情報セキュリティは実質的に利益を生むものではない。
また、セキュリティを強めれば強めるほど、利便性は下がってしまう。

本音としては誰でもこのような取り組みに積極的に関わりたくないと思うだろう。

しかし、今や組織の存続のためには情報セキュリティへの対応が必須である。
一人で対応しても組織として意味がないので、経営層が強いリーダーシップを発揮し、組織の全メンバーへISMSを推進していくことが必要だ。