 ISMS、ISO27001(情報セキュリティマネジメントシステム)
ISMSとは、Information Security Management System(情報セキュリティ マネジメントシステム)の略であり、
「組織が保有する情報資産保護を目的」とするマネジメントシステムです。
ISMS適合性評価制度は、(財)日本情報処理開発協会が認定機関となり、国際規格(ISO/IEC17799)及び、
英国規格(BS7799)に基づいて「ISMS認証基準」が策定され、ISMSの適合性評価制度が運用されてきました
が、2005年10月にISO27001が発行され、今後、情報セキュリティマネジメントシステムは、ISO27001に
一本化されることになりました。
構築のポイント
情報セキュリティポリシー(基本方針)を基に、
● Plan :情報セキュリティ対策の具体的計画・目標を策定し、
● Do :計画に基づいて対策の実施・運用を行い、
● Check :実施した結果の点検・監視を行う。
● Act :経営陣による見直しを行い、改善・処置する。
このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図ることであり、組織が保護すべき
情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが主要なコンセプトとなります。
● 機密性:アクセスを認可された者だけが、情報にアクセスできることを確実にする。
● 完全性:情報及び処理方法が正確であることおよび完全であることを保護する。
● 可用性:認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にする。
「JISQ27001」は次のような構成になっています。
| 1 |
適用範囲 |
5 |
経営陣の責任 |
| 1.1 |
一般 |
5.1 |
経営陣のコミットメント |
| 1.2 |
適用 |
5.2 |
経営資源の運用管理 |
| 2 |
引用規格 |
5.2.1 |
経営資源の提供 |
| 3 |
用語及び定義 |
5.2.2 |
教育・訓練、意識向上及び力量 |
| 4 |
情報セキュリティマネジメントシステム |
6 |
ISMS内部監査 |
| 4.1 |
一般要求事項 |
7 |
ISMSのマネジメントレビュー |
| 4.2 |
ISMSの確立及び運用管理 |
7.1 |
一般 |
| 4.2.1 |
ISMSの確立 |
7.2 |
レビューへのインプット |
| 4.2.2 |
ISMSの導入及び運用 |
7.3 |
レビューからのアウトプット |
| 4.2.3 |
ISMSの監視及びレビュー |
8 |
ISMSの改善 |
| 4.2.4 |
ISMSの維持及び改善 |
8.1 |
継続的改善 |
| 4.3 |
文書化に関する要求事項 |
8.2 |
是正処置 |
| 4.3.1 |
一般 |
8.3 |
予防処置 |
| 4.3.2 |
文書管理 |
|
|
| 4.3.3 |
記録の管理 |
|
|
200社以上!