情報セキュリティマネジメントシステムに関する国際標準に、ISO/IEC27001があり、日本では、JIS Q 27001 としてJISで規定されている。
【 ISO/IEC27001 】
英国規格 | 国際規格 | 日本工業規格 | 備考 |
---|---|---|---|
BS 7799-2 | ISO/IEC 27001 | JIS Q 27001 | ISMS 要求事項 |
BS 7799-1 | ISO/IEC 17799 ↓ ISO/IEC 27002 |
JIS X 5080 ↓ JIS Q 27002 |
ISM 実践のための規範 |
【 ISO/IEC17799 ( JIS Q 27002 ) 】
導入部の後、標準は以下の12の主要な章から構成されている。
各章の中で、情報セキュリティ制御とその目的が述べられている。情報セキュリティ制御は、一般にそれらの目的を達成するベストプラクティスの手段と見なされる。各制御について、実施要項が提供されている。個々の制御が必須というわけではない。
【 ISMS適合評価制度 】
組織の情報セキュリティマネジメントシステムが、ISO/IEC 27001 の要求を満たしていることを第三者が評価し、認定する制度して、ISMS適合性評価制度がある。この制度に適合した組織はISMS認証を取得した事業者として登録される。
情報セキュリティでは、機密性、完全性、可用性に対する様々な脅威から守るべき情報資産を守ることが基本となります。そのために、人的、物理的、技術的、組織的な面から様々な対策を講じますが、当然、対策を行えば行うほどリソース(人、金、物)は必要です。誰しもできるだけ少ないリソースで最大の効果を上げたい、コストは最小限に抑えたいと考えるでしょう。
これらのニーズに現実的な対処をする情報セキュリティを体系的かつ系統立てて捉えたのが情報セキュリティマネジメントシステム( ISMS: Information Security Management System)です。ISMSとは、情報セキュリティを確保、維持するための、人的、物理的、技術的、組織的な対策を含む、経営者を頂点とした組織的な取組みのことです。
情報セキュリティマネジメントを効率よく行うための手法が、PDCA(Plan - Do -Check -Act の略)です。品質改善や環境マネジメントでよく知られた手法で、次のステップを繰り返します。
情報セキュリティ対策は一度行なったら終わりではありません。情報セキュリティ分野は、常に積極的に対策を行なっていないと、新たな脅威に対応できないという側面をもっているため、環境の変化に合わせて絶えず、見直しと改善が求められます。組織のセキュリティ対策における目標達成レベルを継続的に維持改善するためにPlan(計画)-Do(実施)-Check(点検・監査)-Act(見直し・改善)というPDCAサイクルを繰り返すのです。
ISMSを確立するための計画段階にあたるのがPlan(計画)であり、その代表が情報セキュリティポリシー(情報セキュリティに関するその組織の考え方、対策や規約をまとめた文書)の策定です。リスクアセスメントを行って、自身の情報セキュリティにおける脅威と脆弱性とリスクを見極め、守るべき情報資産を何から守るのかを決定し、導入すべき対策(管理策)を取捨選択します。なお、計画段階で選択した対策の導入・運用が Do(実施)に、ISMSの監視及び見直しが Check (点検・監査)に、ISMSの維持及び改善が Act(見直し・改善)にあたります。
つまり、ISMSでは「情報セキュリティポリシーの意識付け」、「セキュリティ情報の収集と分析」、「実装した情報セキュリティ対策の日常的な監視」、「定期的な情報セキュリティ監査」「見直しと改善」というPDCAサイクルを繰り返すことになるのです。
www.it-shikaku.jp