ISMS

情報セキュリティマネジメントシステム（ISMS：Information Security Management System）は、情報に関するセキュリティを管理するための仕組み。

当社では2006年3月に取得している。→光画印刷 ISMS文書サイトへ

• ISMS概論…入社時、ISMSについて説明するときの資料です。

• 2007年度 ISMS要員教育資料…今期の課題や目標です。

• ISMSケーススタディ…事例を上げて、問題点や改善方法を紹介します。

• 情報セキュリティ理解度チェック受講…
  http://slb.jnsa.org/eslb/ にて、ISMSの理解度チェックの受講ができます。問題数：25問、制限時間：60分（標準回答時間30分）です。

ISMSの定義としてJIPDECは、「ISMSとは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することである」、
また、「組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである」と設定している。

また、ここでいう機密性・完全性・可用性とは、以下のような内容である。

 ■機密性
   アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
 ■完全性
   情報および処理方法が正確であることおよび完全であることを保護すること。
 ■可用性
   認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。

ISMSでは、情報資産を特定し、リスクを洗い出し、リスク軽減を行う形で、セキュリティを高める。

情報資産は、以下の切り口で洗い出しを行う。

• 情報資産：データベース、データファイル、手順書、監査証跡など
• ソフトウェア資産：業務用ソフトウェア、システムソフトウェア、開発用ツールなど
• 物理的資産：コンピュータ装置、通信装置、記録媒体など
• サービス資産：ユーティリティ（空調、電源、照明）など
• 人的資産：資格、技能、経験など
• 無形資産：組織の評判、イメージなど

これらの情報資産に対して価値、影響度、蓋然性を基準として評価し、機密性、完全性、可用性の観点から、リスク対策を実施する。

尚、ISMSではリスクをゼロにする事は求めていない。
リスク対策を行う事は、コストが掛かる為、組織として許容できる範囲のリスクかどうかの判断を経営陣が行う事を求めていて、許容範囲までのリスク軽減の対策を講じ、実行されている事を管理する事が求められている。

情報資産の洗い出しから始まって、リスクの洗い出し、対策の検討実施、効果の確認、見直しのPDCAサイクルを回す事がISMSである。