· 

【組織の情報保護に】ISMS認証とは

ISMS認証(ISO27001)とは

 

 ISMSとは「情報セキュリティマネジメントシステム」とも言われ、情報セキュリティに関する国際規格の一つです。

 

 国際標準化機構という組織が定める「ISO27001」という要求事項を満たすことでISMS認証を取得でき、国際的に定められた基準をクリアしたと保証されるようになります。

 

 近年、ITシステムやネットワーク社会インフラとして不可欠なものとなっていますが、一方で標的型攻撃やランサムウェアなどによる被害・影響も多発しています。

 

 こうした中、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっています。

 

 ISMSとは個別の問題ごとの技術対策のほかに、組織マネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することになります。

 

 ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び、可用性をバランスよく維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにあります。

 

 そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつその中に組み込むことが重要です。

 

●簡単に解説

・そもそもISMSの意味とは

ISMSとは「Infomation Security Management System」の略で、IS(情報セキュリティ)とMS(マネジメントシステム)が合わさった言葉になります。

 

・IS(Infomation Security:情報セキュリティ)

ISMSにおける情報セキュリティとは「機密性・完全性・可用性」3つを満たすことと定義されています。

 

・機密性認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性

 

簡単に言うと、企業が持っている情報が外部に漏れないように管理・保護しましょうということです。

たとえば PCに各自でパスワードをかけることや、フォルダのアクセス権限を関係者のみに制限するといったことがこの機密性の対策にあたります。

 

 

・完全性:正確さ及び完全さの特性。

 

これは、持っている情報が常に新しく正しい状態であることを指します。

利用する情報が古かったり間違ったりしたらなんの意味もありませんので定期的に情報の確認や更新を行う、データ改ざんがされないようセキュリティ対策ソフトを入れて保護することなどがこの完全性の対策に当たります。

 

 

・可用性:認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

 

これは、情報使いたいときに使えるような状態にしておくということです。

いくら大切な情報といえども、必要な時に必要な人が使えなければ意味がありません。

システムダウンや自然災害時にもすぐに復旧できるようバックアップを取ったり、個人情報や機密情報が管理されているキャビネットを整理したりすることなどがこの可用性の対策になるでしょう。

 

・MS(Management System:マネジメントシステム)

 

 マネジメントシステムとは組織全体の目標をどのようなやり方で達成するのか、誰がどのような役割分担で活動を行うのかを定めた規定や手順、ルールのことです。

 

 具体的には、社内ルールや業務マニュアル、事業計画などがマネジメントシステムに当たります。

 

 基本的には各企業ごとに自由に設定できるものですが、情報セキュリティに対するマネジメントシステムが会社ごとに異なっていれば、情報セキュリティシステムを維持することが難しくなります。

 

 そこで登場するのがISMSで、情報の機密性・完全性・可用性を維持するためにはどのようなマネジメントシステムを構築すべきかを統一して定めています。

 

 つまりISMSとは「組織が情報の機密性・完全性・可用性を維持するための仕組みの基準を国際的に統一したもの」という風にまとめられます。

 

 日本では、一般財団法人日本情報経済社会推進協会(JIPDEC)にて実施される、ISMS適合性評価制度によって、組織内の情報の取り扱いについて機密性・完全性・可用性の一定の水準で確保する仕組みが整っているかの評価がされ、その基準をクリアするとISMS認証が与えられます。

 

●ISMS認証を受けるメリット

 

・取引先などに情報セキュリティに対する意識の高さをアピールすることができるということ。

 

 第三者の立場である認証機関にISO27001に適合した運用ができているかどうか審査されることで、他社に対し「自社でしっかりと情報セキュリティについて取り組みを行っている」というアピールができます。

 企業としての信頼性がアップし安心感を与えることもできるでしょう。

 

・従業員の情報セキュリティに対する意識の向上が見込めること。

 

 ISMSの認証取得に当たって、情報セキュリティに関するルールの作成や社内周知を行う必要があります。

 それまで何となく行っていた情報セキュリティに関して、ISMSの取得は従業員の中で意識を向上させる絶好の機会になるでしょう

 また、ISMSでは運用の取り組みの中に教育や内部監査の実施が求められており、自分たちのセキュリティ管理に対する行動や意識に関して間違っていれば改める機会が設けられます。

 

●最後に

 

 ISMS認証を受けるには、時間や取得費用・維持費用などが掛かってきます。

 

 ですので、一概にお勧めするわけではございませんが、近年のインターネットの普及と技術の進歩に伴うITツールの活用において、便利なのはもちろんですが、個人情報の流出や不正利用などの問題があるのも事実です。

 

 プライバシー情報を扱う上で、お客様には安心を、サービス提供者に情報セキュリティに対する意識の向上をもたらすことが出来ますので、一度気になった方は取得方法など調べてみてはいかがでしょうか。

 

 

・PR記事

【新品本体価格は100万円以上!?】新品でコピー機を導入するメリット・デメリット

【新品本体価格は100万円以上!?】新品でコピー機を導入するメリット・デメリット

中古だと10万円以下で買えるようなものもある中で物によっては100万円以上する新品を導入することのメリットとデメリットを紹介したいと思います。

【起業・独立が決まったら】オフィスに必要なものとリース料金

【起業・独立が決まったら】オフィスに必要なものとリース料金

起業・独立して事務所を借りたら事業をスタートするのにオフィスには色々と必要なものがあります。
必要なものをすべて初期費用0円のリースで揃えた場合の金額を紹介します。

【ビジネスホンとは?】便利な機能と一般電話機との違い

【ビジネスホンとは?】便利な機能と一般電話機との違い

多くのオフィスではビジネスホンが導入されています。
小規模な事業では一般電話機を利用しているケースももちろんありますが、それでは一体どのような違いがあるのでしょうか。