7-2-1. ISMSの概要
ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)の略称で、組織の情報セキュリティリスクを適切に管理するための仕組みのことです。 ISMSに関する国際規格がフレームワークとして存在していることから、ISMSはセキュリティフレームワークの中でも代表的なものとなっています。ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性および可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにあります。[19]また、ISMSには技術的対策だけでなく、従業員の教育・訓練、組織体制の整備なども含まれます。
情報セキュリティの3要素
図34. 情報セキュリティの3要素
(出典)ISMS-AC「ISMS適合性評価制度」を基に作成
機密性(Confidentiality)
権限のない個人、エンティティまたはプロセスに対して、情報を使用させず、また、開示しないこと(情報に対するアクセスを適切に管理すること)
完全性(Integrity)
情報が正確であり、完全である状態を保持すること
可用性(Availability)
情報を必要なときに使えるようにしておくこと
情報セキュリティの7要素
情報セキュリティには、上記で紹介した3要素に加えて、「真正性(Authenticity)」「信頼性(Reliability)」「責任追跡性(Accountability)」「否認防止(non-repudiation)」という4つの拡張要素があります。これらは、情報にアクセスする人が本当にアクセスするべき人であるかを担保することや、システムが確実に目的の動作をすること、誰がどのような手順で情報にアクセスしたかを追跡できるようにすること、また、情報が後から否定されない状況を作ることで情報セキュリティを確保するものです。
ISMSのための要求事項をまとめた国際規格が、 ISO/IEC 27001です。組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項の提供を目的として作成されています。ISMSの確立および実施について、組織の行うべき事項が項目ごとに記述されたものとなっており、この規格は以下のために用いることができます。[20]
組織のマネジメントおよび業務プロセスを取り巻くリスクの変化への対応
JIS Q 27001(ISO/IEC 27001)では、組織は、自らのニーズおよび目的、情報セキュリティ要求事項、組織が用いているプロセス、並びに組織の規模および構造を考慮して、ISMSの確立および実施を行います。これは、多くの情報を取扱うようになっている、現代の組織のマネジメントおよび業務プロセスを取り巻くリスクの変化に対応できるように、組織基盤を構築する抜本的な業務改革をする目的に適しています。
情報セキュリティ要求事項を満たす組織の能力を内外で評価するための基準
JIS Q 27001(ISO/IEC 27001)は、情報セキュリティ要求事項を満たす組織の能力を、パフォーマンス評価および内部監査などにより、組織の内部で評価する基準としても、取引先の顧客などから受ける第二者監査、あるいは、審査登録機関による認証のための第三者監査の基準としても用いることができます。
(出典)ISMS-AC.”ISMSとは”.https://isms.jp/isms ,(参照 2023-08-09)
ISO/IEC 27001とJIS Q 27001
ISMSに関する規格には、ISO/IEC 27001とは別にJIS Q 27001があります。国際規格であるISO/IECに対して、JISは日本産業規格となり、日本における任意の国家規格です。JIS Q 27001は、ISO/IEC 27001を日本語に訳したものとなりISOとJISによる規格内容の違いはありません。
[19]:ISMS-AC.”ISMSとは”.
https://isms.jp/isms/,
(2023-08-09)
[20]:ISMS-AC.”ISMSとは”.
https://isms.jp/isms/
,(2023-08-09)