ISMS(Information Security Management System) [情報セキュリティ]
ISMSに関する規格及び制度の概要
ISO/IEC 27000~27007、TR 27008、27010、27011等から成り、ISO/IEC 27000ファミリーと呼ばれています。中でも特に重要な存在はISO/IEC 27001とISO/IEC 27002です。
これらの規格やそれに基づく認証制度では、組織(特定の部門の場合もある)が保有するすべての情報資産を取り巻くリスクを認識し、それに対する適切な管理策を適用することで、十分な情報セキュリティを確保・維持することを主目的としています。
ISO/IEC 27001
組織がISMSを確立、導入、運用、監視、レビュー、維持及び改善するための要求事項となっています。
要求事項であるISO/IEC 27001では、表現が「しなければならない(shall)」になっており、ISMS認定取得に必須となる要求事項が記載されています。
ISO/IEC 27002
組織がISMSを実践するための規範となる文書(ガイドライン)であり、「セキュリティ基本指針」から「コンプライアンス」までの11カテゴリについて、必要な管理策が示されています。
実践規範であるISO/IEC 27002では、表現が「~が望ましい(should)」になっており、ISMS認定取得に於いては、必ずしもすべての管理策を適用することが求められているわけではなく、リスクアセスメント結果によって必要な項目を選択することになります。
ISMS適合性評価制度の概要
日本では、2001年4月から開始され、開始当初は国内制度の位置付けでしたが、2006年には、ISO/IEC 27001、ISO/IEC 27002のJIS化に伴い、国際的な審査登録制度に移行しました。一般財団法人日本情報経済社会推進協会(JIPDEC)が主管しており、審査については、JIPDECから認定を受けた審査登録機関が行います。
ISMS適合性評価制度は、一度認証を取得すればよいというわけではなく、その後もマネジメントシステムが適切に機能し続けることが求められます。そのため、半年から1年に一回の頻度(審査機関によって異なる)で継続審査を受けるとともに、3年間に一回は更新審査を受けなければなりません。
ISMS確立までの流れ
ステップ0:ISMS認証取得に向けた準備
ステップ1:ISMSの適用範囲及び境界の定義
ステップ2:ISMS基本方針の定義
ステップ3:リスクアセスメントに対する取り組み方の決定
ステップ4:リスクの識別
ステップ5:リスクの分析及び評価
ステップ6:リスク対応のための選択肢の特定及び評価
ステップ7:リスク対応のための管理目的及び管理策の選択
ステップ8:残留リスクについて経営陣の承認を得る
ステップ9:ISMSの導入・運用について経営陣の承認を得る
ステップ10:適用宣言書の作成
ISMSの導入及び運用段階に於ける主な作業内容
ISO/IEC 27000~27007、TR 27008、27010、27011等から成り、ISO/IEC 27000ファミリーと呼ばれています。中でも特に重要な存在はISO/IEC 27001とISO/IEC 27002です。
これらの規格やそれに基づく認証制度では、組織(特定の部門の場合もある)が保有するすべての情報資産を取り巻くリスクを認識し、それに対する適切な管理策を適用することで、十分な情報セキュリティを確保・維持することを主目的としています。
ISO/IEC 27001
組織がISMSを確立、導入、運用、監視、レビュー、維持及び改善するための要求事項となっています。
要求事項であるISO/IEC 27001では、表現が「しなければならない(shall)」になっており、ISMS認定取得に必須となる要求事項が記載されています。
ISO/IEC 27002
組織がISMSを実践するための規範となる文書(ガイドライン)であり、「セキュリティ基本指針」から「コンプライアンス」までの11カテゴリについて、必要な管理策が示されています。
実践規範であるISO/IEC 27002では、表現が「~が望ましい(should)」になっており、ISMS認定取得に於いては、必ずしもすべての管理策を適用することが求められているわけではなく、リスクアセスメント結果によって必要な項目を選択することになります。
ISMS適合性評価制度の概要
日本では、2001年4月から開始され、開始当初は国内制度の位置付けでしたが、2006年には、ISO/IEC 27001、ISO/IEC 27002のJIS化に伴い、国際的な審査登録制度に移行しました。一般財団法人日本情報経済社会推進協会(JIPDEC)が主管しており、審査については、JIPDECから認定を受けた審査登録機関が行います。
ISMS適合性評価制度は、一度認証を取得すればよいというわけではなく、その後もマネジメントシステムが適切に機能し続けることが求められます。そのため、半年から1年に一回の頻度(審査機関によって異なる)で継続審査を受けるとともに、3年間に一回は更新審査を受けなければなりません。
ISMS確立までの流れ
ステップ0:ISMS認証取得に向けた準備
ステップ1:ISMSの適用範囲及び境界の定義
ステップ2:ISMS基本方針の定義
ステップ3:リスクアセスメントに対する取り組み方の決定
ステップ4:リスクの識別
ステップ5:リスクの分析及び評価
ステップ6:リスク対応のための選択肢の特定及び評価
ステップ7:リスク対応のための管理目的及び管理策の選択
ステップ8:残留リスクについて経営陣の承認を得る
ステップ9:ISMSの導入・運用について経営陣の承認を得る
ステップ10:適用宣言書の作成
ISMSの導入及び運用段階に於ける主な作業内容
- 管理策を実施する
対応基準、実施手順に従って管理策を実施する。リスクアセスメントの結果によっては、新たに入退室管理システムを導入したり、NW構成を変更するなど、物理環境やシステム環境を大幅に変更する必要が生じる場合もある。 - ISMSの浸透を図る
適用対象者全員に対してISMSを浸透させるための方策を検討・実施する。具体的には、次のような方策が考えられる。- ISMS教育を実施する
- 壁や扉にポスターやキャッチコピーを掲示する
- ハンドブックを配布する など
- 記録を収集する
管理策実施に伴う記録を収集し、ISMSの運用状況を確認する。記録は、審査を受ける上で重要な証拠書類となるため、管理策の実施手順と併せて整理しておく必要がある。 - 内部監査を実施し、問題点を改善する
ISMSの運用後、一定期間が経過した後に内部監査を実施し、ISMSの浸透度合いや記録の収集状況などを確認するとともにマネジメントレビューを実施し、問題個所の改善を図る。ISMSの運用によって業務遂行に支障をきたしたり、現場からの不満が出るなどの問題が想定されるので、ヒヤリングなどを通じて確認する。その結果、問題があれば該当部分を修正・改善する。この取り組みは、ISMSを常に有効な状態に保つため、継続的に実施する必要がある。
情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)
- 作者: 上原 孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2013/09/13
- メディア: 単行本(ソフトカバー)
2014-03-28 00:00
nice!(0)
コメント(0)
トラックバック(0)
コメント 0