IT & Information security Journal

  1. UNITIS
  2. セキュリティマネジメント
  3. ISMSとは?情報セキュリティの3要素や規格をわかりやすく解説

ISMSとは?情報セキュリティの3要素や規格をわかりやすく解説

ISMSとは、組織で情報セキュリティを管理するための仕組みのことを指します。この記事では、ISMS認証の取得を検討している企業や、ISMS認証の取得を通じて自社のセキュリティ体制を高めたいと考える企業のために、ISMSの概要や規格について解説します。

この記事のポイント

 

  • ISMSとは組織で情報セキュリティを管理するための仕組みのこと
  • ISMSでは、情報セキュリティを「情報セキュリティの3要素」(機密性・可用性・完全性)に分けて定義している
  • ISMSの要求事項を定めた代表的な規格には、「ISO/IEC 27001」と「JIS Q 27001」がある

ISMSとは?

ISMS(Information Security Management System)とは、組織で情報セキュリティを管理するための仕組みのことです。日本語では、「情報セキュリティマネジメントシステム」と訳されます。

ISMSは、ネットワーク上の攻撃などから組織内の情報を保護するために有効な手段の1つです。

一般社団法人情報マネジメントシステム認定センター(ISMS-AC)は、ISMSの目的を次のように示しています。

ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。(出所:一般社団法人情報マネジメントシステム認定センター(ISMS-AC)Webサイト)

情報セキュリティ(IS)の3要素

情報セキュリティ(IS)の3要素
出所:一般社団法人情報マネジメントシステム認定センター「ISMS適合性評価制度の概要(パンフレット) 」2頁

ISMSでは、情報セキュリティ(IS)を3つの要素に分けて定義しています。これらの要素は情報セキュリティの3要素と呼ばれます。ISMSを構築するためには、情報セキュリティの3要素をバランス良く維持することが求められます。

ISMSには、技術的な対策に加えて、従業員の教育や訓練、組織体制の整備などが含まれます。

機密性

機密性(Confidentiality)とは、許可された者だけが許可された範囲内で情報にアクセスできる状態のことを指します。

具体的には、ファイルにパスワードを付けたり、必要に応じてファイルのアクセス権限を付与したりすることが機密性の維持につながります。

完全性

完全性(Integrity)とは、情報が完全かつ正確に管理されている状態のことを指します。情報資産の改ざんや操作ミスによる情報の喪失、外部流出などが起きないよう、適切な対策がとられていれば、完全性は高まります。

情報が常に正確かつ完全な状態を維持するためには、バージョン管理の徹底が有効とされています。正確なログの取得や記録を行い、定期的にバックアップをすることなどが大切です。

可用性

可用性(Availability)とは、情報を利用したいときに、いつでも正常にアクセスできる状態のことを指します。

システムやサービスの停止を防ぐために、ハードウェアとソフトウェアの双方から対策を講じる必要があります。

マネジメントシステム(MS)とは?

マネジメントシステム(MS)とは、組織内で方針や目的を定めて、その目標に向かって組織の指揮および管理を行う仕組みのことです。

会社のルールや業務マニュアル、事業計画などもマネジメントシステムに含まれます。

ISMSに関する規格

ISMSの要求事項を定めた代表的な規格として、「ISO/IEC 27001」と「JIS Q 27001」があげられます。

ISO/IEC 27001とJIS Q 27001

ISO/IEC 27001 ISO(国際標準化機構)とIEC(国際電気標準会議)が策定した規格
JIS Q 27001 ISO/IEC 27001をベースに策定された国内向けの規格

表記は異なりますが、両者の内容に大きな違いはありません。ISO/IEC 27001は、国際標準化機構のISOが策定した規格であるため、グローバルで高い評価を受けています。

ISMSを理解して企業のセキュリティ体制を高める

自社のセキュリティ体制の構築や向上を目指す企業にとって、ISMSへの理解は欠かせません。この記事で解説したISMSのポイントは下記の通りです。

  • ISMSとは組織で情報セキュリティを管理するための仕組みのこと
  • ISMSでは、情報セキュリティを「情報セキュリティの3要素」(機密性・可用性・完全性)に分けて定義している
  • ISMSの要求事項を定めた代表的な規格には、「ISO/IEC 27001」と「JIS Q 27001」がある

ISMSの認証については、こちらの記事で解説しています。

ISMS認証の取得に要する一般的な期間・費用については、こちらの記事で解説しています。

ISMSとPマークの違いについては、こちらの記事で解説しています。

この記事は会員限定です。
登録すると続きをお読みいただけます。

UNITIS 利用規約に同意のうえ

このサイトはreCAPTCHAによって保護されており、
Googleの プライバシーポリシー利用規約 が適用されます。

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

あわせて読みたい

この記事をシェアする

TOP