ISMS認証とは何か■第1回■ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.18(土)

ISMS認証とは何か■第1回■

特集 特集

プライバシーマークとよく似た第三者認証制度にISMS(Information Security Management System)適合性評価制度がある。プライバシーマーク制度と同様、事業者のセキュリティに対する取り組みを第三者が評価する一種の格付けである。しかし個人情報保護法の施行で注目が集まったプライバシーマーク制度に比べ、知名度はいまひとつ。ISMSはプライバシーマークに比べ、守るべき範囲が広く、もっと注目されてよい第三者認証制度である。このISMSについてみていこう。

●ISMSのポイント

ISMSで守るべきは情報資産で、これは電子媒体、紙媒体を問わない。情報資産を守るため、機密性、完全性、可用性の3つをバランスよく維持・改善していくことがISMSの本質である。

ここでいう機密性、完全性、可用性とは

・「機密性」アクセスを認可された者だけが情報にアクセスできることを確実にすること
・「完全性」情報及び処理方法が、正確であること及び完全であることを保護すること
・「可用性」認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること

と定義されている。

ISMSでは企業自らがリスクアセスメントを行い、必要なセキュリティレベルを決める。セキュリティレベルを決め、定めた情報セキュリティポリシー(基本方針)を基にPDCAサイクルがまわるマネジメントシステムを組織に構築していく。目標をたてプランを作り、資源配分を行い運用していく。運用した結果をモニタリングし、経営陣によって見直しを行う。このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図ることがポイントである。

●ISMS認証取得するメリット

ISMSとプライバシーマークはどちらもPDCAサイクルが継続的に回るマネジメントシステムが構築されているかどうかを第三者認証している。プライバシーマークの場合は個人情報という情報資産の一つを守るためのものであるが、ISMSは組織内の保護すべき情報資産と守る対象が幅広くなる。

ISMSでいう保護すべき情報資産とはサーバーなどの「物理資産」だけでなく、ユーザマニュアルやデータファイルなどの「情報」、アプリケーションソフトや開発ツールなどの「ソフトウェア」、計算処理サービスなどの「サービス」、情報サービスの加入者など「人」となっている。個人情報も情報資産の一つである。

プライバシーマークの認証取得は事業者(法人)単位であるが、ISMSでは対象とする範囲が幅広くなるため、組織の必要に応じて適用範囲を決めることができるようになっている。具体的には事業部・部・課単位、プロジェクト単位等でISMSの認証取得ができる。

個人情報を守るという部分ではプライバシーマーク制度もISMSも同じであるが、ISMSの場合は総合的マネジメントの視点から自社を守るためのマネジメントフレームワークを構築できる点にメリットがある。特にリスクアセスメントを行うことにより、守るべき資産が何であるのかが明確にするだけもでもメリットがある。

ISMSを取得するにはコストも手間もかかるため、対外的には情報セキュリティがしっかりした企業だとお墨付きを得ることができる。また入札条件や電子商取引の参加条件にISMS認証取得を条件にしている場合があり、この場合は必須である。

例えば経済産業省が特定システムオペレーション企業というのを認定してい
るが、これはシステムオペレーションサービスを的確に遂行できる企業というお墨付きで、経済産業省が安全対策、経理的基礎、技術的能力の実績を備えている企業を有効期間3年で認定する制度である。特定システムオペレーション企業の申請をする場合、ISMSの認証取得が必要条件になっている。また官公庁などで調査した個人票を入力するような業務を委託する場合、業者はプライバシーマークかISMSの認証取得が必須になりつつある。

【水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド 水谷哲也】
http://allabout.co.jp/career/corporateit/

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×