「ISMS」の版間の差分

情報セキュリティマネジメントシステム（ISMS：Information Security Management System）は、情報に関するセキュリティを管理するための仕組み。
光画印刷では2006年3月に取得している。

参考ページ

• 光画印刷 ISMS文書サイト…光画印刷ISMSの公式サイト。ISMSの文書を掲載しています。

• ISMS概論…入社時、ISMSについて説明するときの配布資料です。

• ISMSケーススタディ…事例を上げて、問題点や改善方法を紹介します。

• クリアデスク

• 機密保持契約書…書類申請・契約時の運用方法についての説明です。

ISMSの定義

ISMSの定義としてJIPDECは、「ISMSとは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することである」、
また、「組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである」と設定している。

また、ここでいう機密性・完全性・可用性とは、以下のような内容である。

• 機密性…アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
• 完全性…情報および処理方法が正確であることおよび完全であることを保護すること。
• 可用性…認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。

マネジメント

ISMSでは、情報資産を特定し、リスクを洗い出し、リスク軽減を行う形で、セキュリティを高める。情報資産は、以下の切り口で洗い出しを行う。

• 情報資産：データベース、データファイル、手順書、監査証跡など
• ソフトウェア資産：業務用ソフトウェア、システムソフトウェア、開発用ツールなど
• 物理的資産：コンピュータ装置、通信装置、記録媒体など
• サービス資産：ユーティリティ（空調、電源、照明）など
• 人的資産：資格、技能、経験など
• 無形資産：組織の評判、イメージなど

これらの情報資産に対して価値、影響度、蓋然性を基準として評価し、機密性、完全性、可用性の観点から、リスク対策を実施する。尚、ISMSではリスクをゼロにする事は求めていない。
リスク対策を行う事は、コストが掛かる為、組織として許容できる範囲のリスクかどうかの判断を経営陣が行う事を求めていて、許容範囲までのリスク軽減の対策を講じ、実行されている事を管理する事が求められている。情報資産の洗い出しから始まって、リスクの洗い出し、対策の検討実施、効果の確認、見直しのPDCAサイクルを回す事がISMSである。

具体的な範囲

監査時に具体的に聞かれるのは、以下のようなものです。

1.電子メールの知識と利用法
2.ウイルスの知識と対処方法
3.インターネットの利用法と注意点
4.パスワードの知識と管理
5.PCの利用上の注意点
6.オフィスにおける情報セキュリティ
7.ルールや規則の遵守
8.社外における情報セキュリティ

年度別の課題

• 2007年度 ISMS要員教育資料…2007年度の課題や目標です。

試験サイト

• 情報セキュリティ理解度チェック受講…http://slb.jnsa.org/eslb/ にて、ISMSの理解度チェックの受講ができます。問題数：25問、制限時間：60分（標準回答時間30分）です。

• Infinity Infonyによるイーランニング…https://www.infinity-infony.net/tat/login/ にて講座が受けられます。（ID/パスは、2009年1月上旬に千葉さんが配布）
  本講座はISO27001(ISMS)の必要性について解説しています。 なぜ必要なのかをしっかり学習し、理解してください。