情報セキュリティマネジメントシステム

情報セキュリティマネジメントシステムの最新ニュースをまとめて検索！

情報セキュリティマネジメントシステム（じょうほう - 、ISMS: Information Security Management System）は、情報に関するセキュリティを管理するための仕組み。情報セキュリティ管理システムとも。ISMSの構築のしかたと認定の基準は、国際規格や日本工業規格になっている。

[編集] マネジメント

ISMSでは、情報資産を特定し、リスクを洗い出し、リスクを軽減する対策を行うことによって、セキュリティを高める。

情報資産は、次の切り口で洗い出す。

• 情報資産：データベース、データファイル、手順書、監査証跡など
• ソフトウェア資産：業務用ソフトウェア、システムソフトウェア、開発用ツールなど
• 物理的資産：コンピュータ装置、通信装置、記録媒体など
• サービス資産：ユーティリティ（空調、電源、照明）など
• 人的資産：資格、技能、経験など
• 無形資産：組織の評判、イメージなど

これらの情報資産について価値、影響度、蓋然性を基準としてリスクを評価する。そして、リスクが許容限度以上のものについて、機密性、完全性、可用性の観点から、セキュリティ対策を実施する。

ISMSではリスクをゼロにすることは求めていない。セキュリティ対策にはコストがかかるので、組織として許容できる範囲のリスクかどうかの判断を経営陣が行ったうえで、限度以上のリスクについて許容範囲までのリスク軽減の対策を講じ、それが実行されているのを管理することが求められている。

情報資産の洗い出しから始まって、リスクの洗い出し、セキュリティ対策の検討と実施、効果の確認、見直しのPDCAサイクルを回すのがISMSである。

[編集] 標準化の流れ

BSI（英国規格協会）によって規定された英国規格 BS 7799が基となって標準化が進んだ。BS 7799はPart 1 (BS 7799-1) とPart 2 (BS 7799-2) の2部構成になっていた。Part 1には情報セキュリティ管理の実施基準が、Part 2にはその要求仕様が書かれていた。日本の「ISMS認証基準」はPart 2を基に策定された（これは現在 JIS Q 27001 になっている）。

BS 7799は、国際規格になった。BS 7799-1は、2000年にISO/IEC 17799となり（これに伴ってBS 7799-1はBS ISO/IEC 27002となった）、2007年にはISO/IEC 27002:2005と改称された。BS 7799-2も、2005年にISO/IEC 27001となっている。

それらは翻訳されて、日本工業規格にもなっている。2006年に、ISO/IEC 27001はJIS Q 27001として、ISO/IEC 27002はJIS Q 27002として策定された。

これらのほかにも、関連する規格としてISO/IEC 27006（認証／登録プロセスの要求仕様）があり、ISO/IEC 27000、ISO/IEC 27003～27005などが準備中である（ISO/IEC 27000シリーズ）。

[編集] 過去の経緯

情報処理サービス業に対し、コンピュータシステムの安全対策が十分かどうかを認定する制度として、旧通商産業省の「情報システム安全対策実施事業所認定制度」（以下、安対制度という）があった。安対制度では主に施設・設備等の物理的な対策に重点がおかれ、対象業種はデータセンターをもった情報処理業であった。安対制度は、2000年7月に通商産業省から公表された「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」に基づき、（財）日本情報処理開発協会 (JIPDEC) でスタートさせた民間主導による第三者認証制度であった。

以下の理由により、安対制度はISMS認証基準へと発展的に解消されている。

• 情報処理の発展に伴い、情報処理に関するセキュリティは情報処理業だけではなく、あらゆる業種が対象となる。
• 国の制度から民間の制度への移行（規制緩和）。
• 情報セキュリティ管理に関する国際規格の導入。

[編集] 関連項目

• ITIL
• iDC
• プライバシーマーク
• ISO/IEC 27000 シリーズ

[編集] 外部リンク

• 情報セキュリティマネジメントシステム適合性評価制度