★ISO27001(ISMS)とは

Tweet    [PR] 企業向けeラーニングサービス e 研修 【S-LMS+】

ISMS認証基準からJIS Q 27001（ISO/IEC 27001）へ

ISMSは元々英国の情報セキュリティ認証基準規格「BS7799-2」要求仕様を元に 日本で「ISMS認証基準(Ver.2.0)」として2003年に策定されたものです。

この「BS7799-2」が2005年に「ISO/IEC 27001:2005」として国際規格となりました。

「ISO/IEC 27001:2005」をそのまま2006年に日本工業規格にしたのが「JIS Q 27001:2006」です。 （ISO/IEC 27001とJIS Q 27001はイコールな規格です）

「JIS Q 27001（ISO/IEC 27001）」で採用されているマネジメントシステムがISMS（情報セキュリティマネジメントシステム）です。

「ISO/IEC 27001」のJIS化でISMSは認証基準から「JIS Q 15001 」のPMS(個人情報保護マネジメントシステム）と同じ関係になったといえます。

ISMS(情報セキュリティマネジメントシステム)とは

ISMSとは組織の保有する情報を「CIA」（機密性・完全性・可用性）の観点から維持していくための規格です。

いまどきウイルス対策ソフトを業務用PCに導入せずにインターネット接続する人はいないでしょうが、 ウイルス対策ソフトのウイルス定義ファイルが古いままならウイルス対策ソフトはPCに入っていないのと同じことです。
LANで社内ネットワークが構築されている場合、全社的にウイルス定義ファイルが最新で統一されてないと 脆弱な部分からウイルス感染が広がりかねません。

ウイルス対策ソフトひとつをとっても全組織的にウイルス定義ファイルが、最新状態にあるかの確認作業が必要になってきます。

このように情報を毀損する脅威から組織を防衛し維持するには、技術的、物理的、人的、組織的な取り組みを 経営陣からのトップダウン体制で推進する必要があります。

ISMSは個別の技術対策の他に、組織のマネジメントとして、リスクアセスメントにより必要なセキュリティレベルを決定して、 計画を立てリソースを配分してマネジメントシステムを運用していくことです。

情報セキュリティ対策を個々の戦術ではなく組織としての戦略でやりなさいということです。

情報資産（Asset）とは

情報資産とは業務を継続していく上で必要な価値を持つ有形、無形の資産（asset）のことをいいます。

【情報資産の例】
顧客・従業員情報、PC・サーバの中の電子ファイル、電子メール、契約書、アクセスログ、各種マニュアル。

【ハードウエア資産】
PC・サーバ、ネットワークインフラ、記録媒体など。

【ソフトウェア資産】
業務ソフトウェア、システムソフトウェア（OS)、開発用ツールなど

【サービス資産】
空調、電源、照明など。
※コンピュータは一定の温度の環境でしか安定稼動しません。
ユーティリティも資産と考えられます。

【人的資産】
資格、技能、ノウハウなど。

【無形の資産】
組織の評判、イメージ、ストーリーなど
※インターネットでは悪い評判は光速で広がります。

リスク（Risk）とインシデント（Incident）

情報資産が内外の脅威によって棄損される可能性のことをリスク（Risk）といいます。

実際に個人情報の流失事故などが発生して情報資産が損なわれた状態のことをインシデント(Incident)といいます。

ISMSとPDCAサイクル

ISO 27001ではISMSを確立、導入、運用、監視、見直し、維持し改善する場合に PDCAサイクルの採用を求めています。

【Plan】 計画
ISMS基本方針を策定し、情報セキュリティ対策を具体的に計画し目標を立てる。

【Do】 運用
計画に基づいてハード・ソフト対策の導入・運用を行う。

【Check】 見直し
計画を実施した結果の監視・見直しを行う。

【Act】 改善
経営陣による計画の改善・処置を行う。
このPDCAサイクルを継続的に繰り返すことで情報セキュリティレベルを維持して同時にスパイラルアップを図っていきます。

マネジメントシステムにPDCAサイクルを採用するのは、他のＩＳＯ規格、プライバシーマークにも共通します。

情報セキュリティの３要素「CIA」（機密性・完全性・可用性）とは 情報セキュリティの３要素とは

ISO27001(ISMS)取得にかかる費用を知りたい ISO27001取得費用