技術要素 - 11.セキュリティ - 2.情報セキュリティ管理 - 5.情報セキュリティマネジメントシステム

Last Update : January 02 2021 16:00:29

     

a. ISMS ( Information Security Management System :情報セキュリティマネジメントシステム)

情報セキュリティマネジメントシステムに関する国際標準に、ISO/IEC27001があり、日本では、JIS Q 27001 としてJISで規定されている。

ISO/IEC27001

規格の対応関係
英国規格 国際規格 日本工業規格 備考
BS 7799-2 ISO/IEC 27001 JIS Q 27001 ISMS 要求事項
BS 7799-1 ISO/IEC 17799
    ↓
ISO/IEC 27002
JIS X 5080
   ↓
JIS Q 27002
ISM 実践のための規範

ISO/IEC17799 ( JIS Q 27002 )
導入部の後、標準は以下の12の主要な章から構成されている。

  1. リスクアセスメントおよびリスク対応
  2. セキュリティ基本方針 ― 管理方針
  3. 情報セキュリティのための組織 ― 情報セキュリティのガバナンス
  4. 資産の管理 ― 情報資産の目録と分類
  5. 人的資源のセキュリティ ― 従業員の雇用/異動/解雇に伴うセキュリティ
  6. 物理的及び環境的セキュリティ ― コンピュータ機器の保護
  7. 通信及び運用管理 ― システムおよびネットワークにおける技術的セキュリティの管理
  8. アクセス制御 ― ネットワーク/システム/アプリケーション/機能やデータへのアクセス権制限
  9. 情報システムの取得、開発及び保守 ― アプリケーションへのセキュリティ組込み
  10. 情報セキュリティインシデントの管理 ― 違反の予測と、違反に対する適切な対処
  11. 事業継続管理 ― 業務上の重要なプロセスとシステムを保護し、保守し、復旧する
  12. 順守 ― 情報セキュリティポリシー/規格/法律/規定の順守の徹底

各章の中で、情報セキュリティ制御とその目的が述べられている。情報セキュリティ制御は、一般にそれらの目的を達成するベストプラクティスの手段と見なされる。各制御について、実施要項が提供されている。個々の制御が必須というわけではない。

ISMS適合評価制度
組織の情報セキュリティマネジメントシステムが、ISO/IEC 27001 の要求を満たしていることを第三者が評価し、認定する制度して、ISMS適合性評価制度がある。この制度に適合した組織はISMS認証を取得した事業者として登録される。


b. ISMSとPDCAサイクル

情報セキュリティでは、機密性、完全性、可用性に対する様々な脅威から守るべき情報資産を守ることが基本となります。そのために、人的、物理的、技術的、組織的な面から様々な対策を講じますが、当然、対策を行えば行うほどリソース(人、金、物)は必要です。誰しもできるだけ少ないリソースで最大の効果を上げたい、コストは最小限に抑えたいと考えるでしょう。
これらのニーズに現実的な対処をする情報セキュリティを体系的かつ系統立てて捉えたのが情報セキュリティマネジメントシステム( ISMS: Information Security Management System)です。ISMSとは、情報セキュリティを確保、維持するための、人的、物理的、技術的、組織的な対策を含む、経営者を頂点とした組織的な取組みのことです。
情報セキュリティマネジメントを効率よく行うための手法が、PDCA(Plan - Do -Check -Act の略)です。品質改善や環境マネジメントでよく知られた手法で、次のステップを繰り返します。

  • Plan:問題を整理し、目標を立て、その目標を達成するための計画を立てます。
  • Do:目標と計画をもとに、実際の業務を行います。
  • Check:実施した業務が計画通り行われて、当初の目標を達成しているかを確認し、評価します。
  • Act:評価結果をもとに、業務の改善を行います。

情報セキュリティ対策は一度行なったら終わりではありません。情報セキュリティ分野は、常に積極的に対策を行なっていないと、新たな脅威に対応できないという側面をもっているため、環境の変化に合わせて絶えず、見直しと改善が求められます。組織のセキュリティ対策における目標達成レベルを継続的に維持改善するためにPlan(計画)-Do(実施)-Check(点検・監査)-Act(見直し・改善)というPDCAサイクルを繰り返すのです。

ISMSを確立するための計画段階にあたるのがPlan(計画)であり、その代表が情報セキュリティポリシー(情報セキュリティに関するその組織の考え方、対策や規約をまとめた文書)の策定です。リスクアセスメントを行って、自身の情報セキュリティにおける脅威と脆弱性とリスクを見極め、守るべき情報資産を何から守るのかを決定し、導入すべき対策(管理策)を取捨選択します。なお、計画段階で選択した対策の導入・運用が Do(実施)に、ISMSの監視及び見直しが Check (点検・監査)に、ISMSの維持及び改善が Act(見直し・改善)にあたります。
つまり、ISMSでは「情報セキュリティポリシーの意識付け」、「セキュリティ情報の収集と分析」、「実装した情報セキュリティ対策の日常的な監視」、「定期的な情報セキュリティ監査」「見直しと改善」というPDCAサイクルを繰り返すことになるのです。


  [ 例題 ] 
  1. 平成15年度春期 問72  情報セキュリティポリシ
  2. 平成19年度秋期 問69  ISMS PDCA
  3. 平成22年度春期 問80  ISMS


     

www.it-shikaku.jp