7-3-4. ISMSとの関連性
CSFとISMSの関連性
CSFとISMSの主な共通点
汎用性が高い
ISMSとCSFは、汎用性が高く、あらゆる組織で使用することができます。まずはISMSをベースにして情報セキュリティ対策を行い、必要に応じてCSFの内容を取り入れるとよいでしょう。
サイバーセキュリティ対策方法
ISMSとCSFはどちらも「識別」「防御」「検知」「対応」「復旧」といったサイバーセキュリティ対策を挙げています。
任意性がある
ISMSとCSFはどちらも、提示しているすべてのセキュリティ対策を取り入れることは求めておらず、何を取り入れるかはそれぞれの組織で決定可能です。
CSFとISMSの主な相違点
第三者認証制度の有無
ISMSには、第三者機関による認証制度(適合性評価制度)が存在します。これに対して、CSFにはそのような認証制度はありません。そのため、情報セキュリティ対策を行っていることを顧客や取引先に対して客観的に示すためには、ISMSを構築して認証を受けることが有効です。
目標への到達手段
ISMSは、PDCAサイクルをまわすことで、情報セキュリティマネジメント体制を構築する一方、CSFでは特にPDCAサイクルをまわすといった記載はありません。CSFの「プロファイル」では、現在の状況と理想の状況とのギャップを明確にすることで、とるべき対応策の優先順位を決めて、それに従って実施していくことになります。