 |
ISMS(情報セキュリティマネジメントシステム)
- 企業における情報の取扱いは年々重要になるとともに、その方法の適切性も厳しく要求されるようになってきています。このような中、ISOにおいても情報管理に関する規格がISO27001として定められています。フォーラムエイトでは、今期内の本認証獲得を目指して活動を進めています。
|
ISMS とは
ISMS(Information Security Management System)とは、情報セキュリティマネジメントシステムであり、組織が情報資産を適切に管理し、機密性、完全性、可用性を維持し、継続的に運用する枠組みのことです。機密性、完全性、可用性の定義は次のようになります。
- 機密性(confidentiality):認可されていない個人、エンティティ又はプロセスに関して、情報を使用不可又は非公開にする
- 完全性(integrity):資産の正確さ及び完全さを保護する
- 可用性(availability):認可されたエンティティが要求したときに、アクセス及び使用が可能である
1999年に、BSI(イギリス規格協会)がISMSの標準規格として「BS7799」を策定し、翌2000年には、ISO(国際標準化機構)によって「ISO/IEC
17799」が国際標準化されました。このISO/IEC 17799の改訂中に、第三者認証の基準となる要求事項の規格化の要請が強くなり、ISMSを確立、導入、運用、監視、レビュー、維持および改善するためのモデルを提供するために、ISO/IEC27001が作成、2005年10月に発行されました。
情報セキュリティの問題
近年、コンピュータウィルス、情報漏えい、ホームページ改ざんなど、さまざまな情報セキュリティの問題が多発しています。このような問題は、対岸の火事ではなく常に起こりうる問題であります。こういった問題に対して対策を十分に講じることと、各個人に対しても教育訓練が必要です。
また、守るべき情報資産に対してもプライオリティを設定し、それぞれのレベルに応じたリスク対策が必要です。
ISO27001: 2005
この規格は、PDCAモデルを採用しており、ISMSプロセスすべての構築に適用しています。図1は、ISMSにおけるPDCAモデルを示しております。このモデルへのインプットとして利害関係者からの情報セキュリティ要求事項及び期待があり、アウトプットには、利害関係者への運営管理された情報セキュリティとなります。
ISMS の最新動向
ISMSを認証している組織は、2012年2月14日現在で4209あります。ISO27001について、現在改訂作業が行われており、この秋には、正式に発行される見込みです。
主な改訂内容は、マネジメントシステムの骨格部分やリスク評価の考え方を他のISO規格と共通にすることです。
この方針に基づいた規格では、BCMS の規格であるISO22301が昨年の5月に先行して発行されており、ISO14001やISO9001も、来年から再来年にかけて改訂される予定です。
フォーラムエイトでのISMS の取り組み
弊社においても、ソフトウェア会社としての膨大な情報資産等があり、これらのセキュリティリスクを抑えることが重要な課題です。この課題を克服し、社外的な信頼を得ること、また社員への情報セキュリティに関する知識向上を兼ねて、ISO27001認証取得することを決定しました。今期内である2013年9月までの取得を目指し、活動を開始しております。
 |
|
 |
| ▲図1 PDCA モデル |
|
▲図2 ISMS 構築フロー例 |
|
|
