ISMS
概要
ISMS(Information Security Management System)は、日本語では情報セキュリティマネジメントシステムと呼ばれる。情報セキュリティを管理する組織的な仕組み、およびその規格や認証のことを指す。
ICTシステムやネットワークに対する標的型攻撃やランサムウェアなどの脅威に対し、適切にリスクアセスメントを実施して企業における総合的な情報セキュリティを確保するために、今日ではISMSの構築・運用が必須事項となっている。
規格
ISMSの標準はISO(国際標準化機構)が発行するISO 27001(JIS Q 27001)に規定されている。最新版はISO/IEC 27001:2013(JIS Q 27001:2014)である。
ISO/IEC 27001:2013(JIS Q 27001:2014)では情報セキュリティマネジメントシステムを構築するにあたって、さまざまなルールが定められている。
要求事項
ISMS(情報セキュリティマネジメントシステム)では主に以下の要求事項が定められている。
・ISMSに関する方針を定め、要求事項を満たすことや継続的改善へのコミットメントを実証する。
・リスクマネジメントなどISMSに関する計画を策定する。
・必要な資源や力量を確保する。
・策定した計画を運用する。
・ISMSの実施に関するパフォーマンスと有効性を評価する。
・不適合が発生した場合に是正措置を行い、ISMSを継続的に改善する。
認証取得
規格に準拠し、認証機関に認められれば ISMSの認証を取得することができる。ISMS認証は1年ごとのサーベイランス審査(維持審査)と3年ごとに更新審査を受ける必要がある。
