「情報セキュリティマネジメントシステム」の版間の差分

≪一般≫

情報セキュリティとは(情報セキュリティの定義)

情報セキュリティとは、簡単に言えば、情報を安全な状態にしておくことである。
ISO27001では、情報セキュリティを「情報の機密性、完全性及び可用性を維持する事」と定義している。
つまり、情報セキュリティの基本は、機密性、完全性及び可用性という3つの用件を満たしている状態といえる。



機密性…許可された者が、許可された時に、許可された場所で利用できる状態
例）不正アクセスや過失などによる情報漏洩や流出からの保護

完全性…資産の正確さ及び完全さを保護している状態
例）データの誤入力、誤処理などからの保護

可用性…情報資産を利用したいときに利用できる状態
例）システム障害などからの保護

情報セキュリティマネジメントの必要性

企業活動全般において、情報資産(情報及び情報処理施設)は必要不可欠なものとなっている。また、情報資産は経営戦略、業務プロセスと密接な関係にあると言える。その中で、情報資産が利用できなくなると、顧客や取引先に多大な影響を与える事になり、情報資産が企業経営に与える影響は計り知れない。

情報セキュリティマネジメントシステム(ISMS)とはなにか?

ISMSとは、情報セキュリティが関わる組織の目標を達成するために必要なマネジメントを効率的・効果的に行う為の仕組みである。このマネジメントシステムにおいて重要な事は、その管理が継続的かつ有効に機能する事である。そのためには、組織においてPDCAモデルが確立されている必要がある。



1:計画（ISMS の確立）
組織の全般的方針及び目的に従った結果を出すための，リスクマネジメント及び情報セキュリティの改善に関連した，ISMS 基本方針，目的，プロセス及び手順の確立

2:実行（ISMS の導入及び運用）
ISMS 基本方針，管理策，プロセス及び手順の導入及び運用

3:点検（ISMS の監視及びレビュー）
ISMS 基本方針，目的及び実際の経験に照らした，プロセスのパフォーマンスのアセスメント（適用可能ならば測定），及びその結果のレビューのための経営陣への報告

4:処置（ISMS の維持及び改善）
ISMS の継続的な改善を達成するための，ISMS の内部監査及びマネジメントレビューの結果又はその他の関連情報に基づいた，是正処置及び予防処置の実施

ISMSでは、次の手順においてマネジメントシステムを構築している。

まず、情報セキュリティマネジメントシステムが確立され、それが適切に運用されなければならない。その中で、文書化はマネジメントシステムを確立し、適切に運用する為に必要なだけではなく、それを実施している事の証拠としても必要となる。
それは、第三者に対し説明する際や、ISMS内部監査部門及び経営陣がISMS稼動状況をチェックする際にも必要となる。