ISMS、情報セキュリティマネジメントシステム
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、情報セキュリティ対策を経営管理活動の一環として、経営者のリーダーシップにより、全社的な・継続的な活動として取り組むことです(注)。
ISO/IEC27001(JIS Q 27001)では、次のように定義しています。
(注)情報セキュリティマネジメントの主要対象は、情報システムへのリスクです。そのため、情報セキュリティマネジメントはリスクマネジメントの一環として認識されるべきです。なお、経営者のなかでリスクマネジメントを担当する最高責任者をCRO(Chief Risk Officer)といいます。
ISMSの導入・運用は、次の手順で行われます。
・導入・推進のための組織体制の確立
・セキュリティポリシー(基本方針)の策定
・リスク分析の実施
・対策基準・実施基準の策定と周知
・実践活動とモニタリング
そして、PDCAサイクルにより継続的な改善活動を行うことにより、情報セキュリティの成熟度を高めることが必要です。
ISMSの評価基準は、ISOやJISの規格になっており、第三者機関が審査する制度もあります。
ISO・JISの規格には、
ISO/IEC27001(JIS Q 27001)ISMSの要求事項
ISO/IEC27002(JIS Q 27002)ISMSの実践規範
があります。「ISMSを実践している」ことを評価する項目が要求事項で、それを実現するためのポイントを示したのが実践規範です。
そして、実際にISMSが実践されているかを第三者が評価する制度に、
情報セキュリティ監査制度
ISMS適合性認証制度
があります。
自社の情報セキュリティマネジメントのレベルについて認識することは、ISMSのような大々的な対策をする以前にも重要ですし、ISMSを推進途中でも自己チェックするにも重要です。
IPAでは、「情報セキュリティ対策自己診断テスト」(
https://www.ipa.go.jp/security/benchmark/index.html)を提供しています。数十個の設問に回答すると、自社のレベルとベンチマークが得られます。