ISMSとは―ISO27001の知識。要求事項の解説や認証についてなど。

ISMS（情報セキュリティマネジメントシステム）は、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。要求事項の解説や認証についてなど、ISO27001の知識をまとめています。

▲記事トップへ

目次

この記事の目次です。

1. ISMSとは
2. ISO/IEC 27001
3. ISMSとPDCAモデル
4. ISMS規格要求事項
5. 管理策
6. ISMS適合評価制度
7. ISMS認証
8. 情報セキュリティの知識

もっと知識を広げるための参考 更新履歴

1. ISMSとは

ISMSとは、Information Security Management Systemの略で、情報セキュリティマネジメントシステムのことをいいます。 情報セキュリティ対策の指針として、個別の技術対策だけでなく、組織が保護すべき情報資産を機密性、完全性、可用性などの観点からバランスよく維持管理し、改善していくことを目的とした評価基準です。

ISMSの読み方

ISMSの読み方は、「あいえすえむえす」が一般てきですが、「いすむす」と読むこともあります。

2. ISO/IEC 27001

ISO/IEC 27001は、情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。

ISO/IEC 27000シリーズの1つで、ISO/IEC 27001は、「組織のISMSを認証するための要求事項」がまとめられています。 ISO/IEC 27000シリーズには、その他にISO/IEC 27000「ISMS 規格についての概要と基本用語集」、ISO/IEC 27002「ISM 実践のための規範」などISMS関連についてまとめられています。

読み方

ISO/IEC 27001の読み方は「あいえすおー/あいいーしーにーななぜろぜろいち」です。

ISO/IEC 27000シリーズ

ISO/IEC 27000シリーズは、国際標準化機構 (ISO) と国際電気標準会議 (IEC) が共同で策定する情報セキュリティ規格群です。

ISMSでいう情報セキュリティの管理・リスク・制御に関するベストプラクティスを提供します。

このシリーズの対象とする範囲は広く、プライバシー、機密、情報技術におけるセキュリティ問題などをカバーしており、 ISMS にはPDCAサイクルによる継続的なフィードバックと改善が導入されています。

3. ISMSとPDCAモデル

ISMSを運用している組織ではPDCAモデルに基づいて運用していく必要があります。 ISMSにおけるPDCAと実施（Do）や改善（Act）などのフェーズについてまとめています。

PDCAモデルとは

PDCAモデルは、P（計画：Plan）→D（実施：Do）→C（評価：Check）→A（改善：Act） の 4段階を繰り返すことによって、業務を継続的に改善するモデルです。 ISMSを運用している組織ではPDCAモデルに基づいて運用していく必要があります。

P（計画：Plan）で実施すること

目標や基準など計画を行います。

D（実施：Do）で実施すること

PDCAモデルに基づいて、ISMSを運用している組織において、 サーバ運用管理手順書に従って定期的に、“ウイルス検知用の定義ファイルを最新版に更新する”作業を実施している、 これはDに当たります。

C（評価：Check）で実施すること

計画通り実施できているか評価を行います。

A（改善：Act）で実施すること

PDCAモデルに基づいて、ISMSを運用している組織において、A（Act）で実施することの例は以下です。

• 業務内容の監査結果に基づいて是正処置として、サーバの監視方法を変更する。

4. ISMS規格要求事項

ISMSの規格要求事項について触れていきます。

組織及びその状況の理解

情報セキュリティマネジメントシステムを構築・運用する上で考慮すべき内外部の課題を特定し、組織の状況を確率することを要求しています。

リーダーシップ

ISMSにおける情報セキュリティ方針は、情報セキュリティに対する組織の意図を示し、方向付けをするものです。

情報セキュリティ方針はトップマネジメントが確立

全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針は、 トップマネジメントが確立しなければなりません。

トップマネジメント

JIS Q 27000:2014（情報セキュリティマネジメントシステム―用語）における、 トップマネジメントは、組織を指揮し、管理する人々の集まりとして複数名で構成されていてもよいです。

計画

JIS Q 27000:2014（情報セキュリティマネジメントシステム―要求事項）において、 情報セキュリティ目的をどのように達成するかについて計画するとき、 決定しなければならない事項として “実施事項”、“責任者”、“達成期限”、“必要な資源”及び“結果の評価方法”を定められています。

支援

支援では、資源、力量、認識、コミュニケーション、文書化した情報で構成されています。

運用

ISMSにおけるハイレベルなリスクマネジメントの確立および情報セキュリティにおけるリスクアセスメントならびにリスク対応に関する要求事項が規定されています。

パフォーマンス評価

情報セキュリティマネジメントシステムの有効性や適合性を評価するための要求事項が規定されています。

改善

不適合及び是正処置、継続的改善について見ていきます。

是正処置

JIS Q 27000:2014（情報セキュリティマネジメントシステム―用語）において、 不適合が発生した場合にその原因を除去し、再発を防止するためのものとして是正処置が定義されています。

5. 管理策

情報セキュリティインシデント管理、情報セキュリティの教育及び訓練、法的及び契約上の要求事項の順守など 管理策について見ていきます。

リスク及び機会に対処する活動の流れ

ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”は、 リスク分析、リスク評価、リスク対応の流れで活動します。

ISMSにおけるリスク分析

リスクの内容は業界や業種によって異なることから、対象とする組織に適した分析手法を用います。

サポートユーティリティ

JIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）の“サポートユーティリティ”に関する例示から、 たとえば、サーバ室の空調は、サポートユーティリティになります。

6. ISMS適合評価制度

ISMS適合評価制度は、情報セキュリティ対策の指針として、個別の技術対策だけでなく、 組織の情報資産について、機密性、完全性、可用性をバランスよく維持し改善すること基本コンセプトとした制度です。

ISMS適合評価制度の情報セキュリティ基本方針

情報セキュリティのための経営陣の方向性及び支持を規定します。 自社の情報保護方針を示した、いわばセキュリティに対する経営方針であり、特定のシステムを対象にするものではありません。

情報セキュリティ基本方針は、その企業が所有している情報資産を保護するための方針やセキュリティ目標などを定めたものであり、全社員に周知させる必要があります。

また、ビジネス環境や技術が変化すれば、情報資産に対する脅威やセキュリティリスクも変化します。 その都度、見直しをして、現状に合わせて変更していかなければなりません。

7. ISMS認証

ISMS認証について見ていきます。

ISMS認証を取得していることから判断できること

ISMS適合性評価制度において、組織がISMS認証を取得していることから判断できることは、 組織が情報資産を適切に管理し、それを守るための取組みを行っていることです。

8. 情報セキュリティの知識

その他、情報セキュリティの知識についてまとめています。

脅威

脅威には、情報資産に対して物理的脅威、技術的脅威、人的脅威などがあります。

脆弱性

脆弱性は、セキュリティの穴です。 脆弱性とは？セキュリティホールの見つけ方、脆弱性評価指標など。脆弱性についてまとめています。

サイバー犯罪

サイバー犯罪は、コンピュータネットワーク上で行われる破壊、改ざん、漏えい、盗聴などの犯罪全般のことです。 サイバーテロやサイバー攻撃のやり方など。サイバー犯罪についてまとめています。

知識の幅を広げるための参考

• ITスキル体系

  ITスキルを体系的に把握するコンテンツとしてzealseedsのITスキル体系をまとめています。

更新履歴

更新履歴になります。

• 2021/12/18 ISO/IEC 27001の読み方について追記しました。
• 2021/8/25 ISMS規格要求事項について追記しました。
• 2020/5/18 ISO/IEC 27001について追記しました。
• 2020/3/19 ISO/IEC 27000シリーズについて追記しました。

戻る