情報セキュリティマネジメントシステム
出典: フリー百科事典『ウィキペディア(Wikipedia)』
情報セキュリティマネジメントシステム(じょうほう - 、ISMS:Information Security Management System)は、情報に関するセキュリティを管理するための仕組。以降では特に記載の無い限り、日本での状況を記載する。
目次 |
[編集] 経緯
情報処理サービス業に対し、コンピュータシステムの安全対策が十分かどうかを認定する制度として、旧通産省の「情報システム安全対策実施事業所認定制度」(以下、安対制度という)があった。安対制度では主に施設・設備等の物理的な対策に重点がおかれ、対象業種としてはデータセンターを持った情報処理業が対象となっていた。 2000年7月に通商産業省から公表された「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」に基づき、(財)日本情報処理開発協会 (JIPDEC) にてスタートさせた民間主導による第三者認証制度である。
以下の様な理由により、安対制度はISMSへと発展的解消されている。
- 情報処理の発展に伴い、情報処理に関するセキュリティは情報処理業のみではなく、あらゆる業種が対象となる
- 国の制度から民間の制度へ(規制緩和)
- 情報セキュリティ管理に関する国際的な標準の導入
[編集] 標準化の流れ
BSI(英国規格協会)によって規定された、BS 7799がベースとなって標準化が進んでいる。BS 7799はPart1とPart2の2部構成になっている。Part1は情報セキュリティ管理の実施基準が、Part2にはその仕様が書かれている。ISMS認証基準はPart2を基準に策定されているが、Part1の内容も取り入れた形になっている。
また、ISO化も進められており、BS 7799-1については、ISO/IEC 17799として策定されており、BS 7799-2についても、ISO/IEC 27001として策定されている。
JIS化も行われており、ISO/IEC 27001はJIS Q 27001として、ISO/IEC 17799はJIS Q 27002として、策定されている。
[編集] マネジメント
ISMSでは、情報資産を特定し、リスクを洗い出し、リスク軽減を行う形で、セキュリティを高める。
情報資産は、以下の切り口で洗い出しを行う。
- 情報資産:データベース、データファイル、手順書、監査証跡など
- ソフトウェア資産:業務用ソフトウェア、システムソフトウェア、開発用ツールなど
- 物理的資産:コンピュータ装置、通信装置、記録媒体など
- サービス資産:ユーティリティ(空調、電源、照明)など
- 人的資産:資格、技能、経験など
- 無形資産:組織の評判、イメージなど
これらの情報資産に対して価値、影響度、蓋然性を基準として評価し、機密性、完全性、可用性の観点から、リスク対策を実施する。
尚、ISMSではリスクをゼロにする事は求めていない。リスク対策を行う事は、コストが掛かる為、組織として許容できる範囲のリスクかどうかの判断を経営陣が行う事を求めていて、許容範囲までのリスク軽減の対策を講じ、実行されている事を管理する事が求められている。
情報資産の洗い出しから始まって、リスクの洗い出し、対策の検討実施、効果の確認、見直しのPDCAサイクルを回す事がISMSである。
