ISMS(情報セキュリティマネジメントシステム)は、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。要求事項の解説や認証についてなど、ISO27001の知識をまとめています。
この記事の目次です。
1. ISMSとは
2. ISO/IEC 27001
3. ISMSとPDCAモデル
4. ISMS規格要求事項
5. 管理策
6. ISMS適合評価制度
7. ISMS認証
8. 情報セキュリティの知識
ISMSとは、Information Security Management Systemの略で、情報セキュリティマネジメントシステムのことをいいます。 情報セキュリティ対策の指針として、個別の技術対策だけでなく、組織が保護すべき情報資産を機密性、完全性、可用性などの観点からバランスよく維持管理し、改善していくことを目的とした評価基準です。
ISMSの読み方は、「あいえすえむえす」が一般てきですが、「いすむす」と読むこともあります。
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
ISO/IEC 27000シリーズの1つで、ISO/IEC 27001は、「組織のISMSを認証するための要求事項」がまとめられています。 ISO/IEC 27000シリーズには、その他にISO/IEC 27000「ISMS 規格についての概要と基本用語集」、ISO/IEC 27002「ISM 実践のための規範」などISMS関連についてまとめられています。
ISO/IEC 27001の読み方は「あいえすおー/あいいーしーにーななぜろぜろいち」です。
ISO/IEC 27000シリーズは、国際標準化機構 (ISO) と国際電気標準会議 (IEC) が共同で策定する情報セキュリティ規格群です。
ISMSでいう情報セキュリティの管理・リスク・制御に関するベストプラクティスを提供します。
このシリーズの対象とする範囲は広く、プライバシー、機密、情報技術におけるセキュリティ問題などをカバーしており、 ISMS にはPDCAサイクルによる継続的なフィードバックと改善が導入されています。
ISMSを運用している組織ではPDCAモデルに基づいて運用していく必要があります。 ISMSにおけるPDCAと実施(Do)や改善(Act)などのフェーズについてまとめています。
PDCAモデルは、P(計画:Plan)→D(実施:Do)→C(評価:Check)→A(改善:Act) の 4段階を繰り返すことによって、業務を継続的に改善するモデルです。 ISMSを運用している組織ではPDCAモデルに基づいて運用していく必要があります。
目標や基準など計画を行います。
PDCAモデルに基づいて、ISMSを運用している組織において、 サーバ運用管理手順書に従って定期的に、“ウイルス検知用の定義ファイルを最新版に更新する”作業を実施している、 これはDに当たります。
計画通り実施できているか評価を行います。
PDCAモデルに基づいて、ISMSを運用している組織において、A(Act)で実施することの例は以下です。
ISMSの規格要求事項について触れていきます。
情報セキュリティマネジメントシステムを構築・運用する上で考慮すべき内外部の課題を特定し、組織の状況を確率することを要求しています。
ISMSにおける情報セキュリティ方針は、情報セキュリティに対する組織の意図を示し、方向付けをするものです。
全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針は、 トップマネジメントが確立しなければなりません。
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)における、 トップマネジメントは、組織を指揮し、管理する人々の集まりとして複数名で構成されていてもよいです。
JIS Q 27000:2014(情報セキュリティマネジメントシステム―要求事項)において、 情報セキュリティ目的をどのように達成するかについて計画するとき、 決定しなければならない事項として “実施事項”、“責任者”、“達成期限”、“必要な資源”及び“結果の評価方法”を定められています。
支援では、資源、力量、認識、コミュニケーション、文書化した情報で構成されています。
ISMSにおけるハイレベルなリスクマネジメントの確立および情報セキュリティにおけるリスクアセスメントならびにリスク対応に関する要求事項が規定されています。
情報セキュリティマネジメントシステムの有効性や適合性を評価するための要求事項が規定されています。
不適合及び是正処置、継続的改善について見ていきます。
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)において、 不適合が発生した場合にその原因を除去し、再発を防止するためのものとして是正処置が定義されています。
情報セキュリティインシデント管理、情報セキュリティの教育及び訓練、法的及び契約上の要求事項の順守など 管理策について見ていきます。
ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”は、 リスク分析、リスク評価、リスク対応の流れで活動します。
リスクの内容は業界や業種によって異なることから、対象とする組織に適した分析手法を用います。
JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の“サポートユーティリティ”に関する例示から、 たとえば、サーバ室の空調は、サポートユーティリティになります。
ISMS適合評価制度は、情報セキュリティ対策の指針として、個別の技術対策だけでなく、 組織の情報資産について、機密性、完全性、可用性をバランスよく維持し改善すること基本コンセプトとした制度です。
情報セキュリティのための経営陣の方向性及び支持を規定します。 自社の情報保護方針を示した、いわばセキュリティに対する経営方針であり、特定のシステムを対象にするものではありません。
情報セキュリティ基本方針は、その企業が所有している情報資産を保護するための方針やセキュリティ目標などを定めたものであり、全社員に周知させる必要があります。
また、ビジネス環境や技術が変化すれば、情報資産に対する脅威やセキュリティリスクも変化します。 その都度、見直しをして、現状に合わせて変更していかなければなりません。
ISMS認証について見ていきます。
ISMS適合性評価制度において、組織がISMS認証を取得していることから判断できることは、 組織が情報資産を適切に管理し、それを守るための取組みを行っていることです。
その他、情報セキュリティの知識についてまとめています。
脅威には、情報資産に対して物理的脅威、技術的脅威、人的脅威などがあります。
脆弱性は、セキュリティの穴です。 脆弱性とは?セキュリティホールの見つけ方、脆弱性評価指標など。脆弱性についてまとめています。
サイバー犯罪は、コンピュータネットワーク上で行われる破壊、改ざん、漏えい、盗聴などの犯罪全般のことです。 サイバーテロやサイバー攻撃のやり方など。サイバー犯罪についてまとめています。
ITスキルを体系的に把握するコンテンツとしてzealseedsのITスキル体系をまとめています。
更新履歴になります。
スポンサーリンク
サイト内のページ
言語
C・C++
/HTML
/Java
/JavaScript
/PHP
/シェルスクリプト
開発環境
Ant
/Burp
/Eclipse
/Fiddler
/gcc
/gdb
/Git
/g++
/JDK
/JMeter
/JUnit
/Teraterm
/ZAP
技術・仕様
Ajax
/CORBA
/Jakarta EE(旧称J2EE、Java EE)
/JNI
ライブラリ/Framework/CMS
bootstrap
/jQuery
/FuelPHP
/Lucene
/MyBatis
/Seasar2
/Spring
/Struts
/WordPress
Web API
Google Maps
ITインフラOSとミドルウェア
Linux
/Windows
/シェル
ActiveMQ
/Tomcat
/MariaDB
/MySQL
/Nagios
/Redis
/Solr
ITインフラセキュリティ
公開サーバーのセキュリティ
SI
ホームページの作り方
スポンサーリンク
関連サイト内検索ツール
zealseedsおよび関連サイト内のページが検索できます。
IPアドレス確認ツール
あなたのグローバルIPアドレスは以下です。
52.14.49.59
HTMLの表示色確認ツール
パスワード生成ツール
文字数のプルダウンを選択して、取得ボタンを押すと「a~z、A~Z、0~9」の文字を ランダムに組み合わせた文字列が表示されます。
ここに生成されます。
スポンサーリンク
Copyright (C) 2007-2024 zealseeds. All Rights Reserved. Loarding…