ISMSとは ABOUT
国際規格の「ISO/IEC27001:2013(JIS Q 27001:2014)」はISMSと呼ばれています。
ISMSとはInformation Security Management Systemの頭文字をとった略語で、日本語表記で「情報セキュリティマネジメントシステム」のことです。
これだけではよくわからないですよね…そこで「情報セキュリティマネジメントシステム」を2つに分けて意味を考えると、少しわかりやすくなります。
IS + MS
(情報セキュリティ)の(マネジメントシステム)
First
Information Security
(情報セキュリティ)について
情報セキュリティ = 情報漏洩防止
とイメージされる方が多いと思いますが…
情報セキュリティの真意(定義)は、次の「3つを維持」することなのです。
- ①機密性(定めた権限で、情報の操作や開示ができる特性)
- ②完全性(必要な情報が、正しく・改ざんされない特性)
- ③可用性(必要な時にすぐに、情報の操作や開示ができる特性)
開かない金庫
開かないので、何が保管されてるか不明・操作出来ない(機密性・完全性が高い)
でも、必要な時にお金が使えない(可用性の喪失)
わかりやすい極端な例
「開かない金庫」
と
「開きっぱなしの金庫」
どちらがいいですか?
開きっぱなしの金庫
開きっぱなしなので、いつもお金が使える
(可用性が高い)
でも、現金・預金等、保管物が公知となる・金額操作されやすい(機密性・完全性が低い)
どちらもいやですよね…
もっとバランスの取れた「丁度良い金庫」を使いたいものです。
つまり、Information Security(情報セキュリティ)とは
「情報の、機密性・完全性・可用性が丁度良い」という事です。
Second
Management System
(マネジメントシステム) について
マネジメントシステムの定義は、「方針、目的及びその目的を達成するためのプロセスを確立するため、相互に関連する又は相互に作用する、組織の一連の要素。」
となってます…難しいですね。
分かり易く表現すると「目的を達成する為の組織の仕組み」のことです。
これって…よく聞きますよね?…そう
- Plan
(計画) - Do
(実行) - Check
(評価) - Action
(改善)
上記4つを継続的に行う→PDCAサイクルのことです。
以上、2つの話からまとめると…
ISMSとは
「情報の、機密性・完全性・可用性が丁度良い」
状態を維持する、PDCAサイクルとなります。
具体的には「方針やルールを作り、チェック体制や教育体制を整備し、実際の行動と、それに対する評価と改善及びフィードバックなど定める」仕組みとなります。
そして「ISMSが国際的な規格に則っ
て、顧客の要求事項の実現の為に取り組んでいる組織であること」を、対外的にPRするための手段が、当社の提供する
ISO27001:2013(JIS Q 27001:2014)の各種支援サービスとなります。
概要説明すると簡単に思えますが、実際に準拠するためには114項目ある管理策に対して「自社にはどういった形で対応するのがベストか」を考えながら設計していくことになります。スタート自体も大変な作業ですが、その維持活動も大変です。
弊社では貴社にとって最適な情報セキュリティのバランス設計とPDCAサイクルの設計を確かな知識と経験でサポートさせていただきます。