ISMS認証とは何か■第2回■ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.24(金)

ISMS認証とは何か■第2回■

特集 特集

プライバシーマークとよく似た第三者認証制度にISMS(Information Security Management System)適合性評価制度がある。プライバシーマーク制度と同様、事業者のセキュリティに対する取り組みを第三者が評価する一種の格付けである。しかし個人情報保護法の施行で注目が集まったプライバシーマーク制度に比べ、知名度はいまひとつ。ISMSはプライバシーマークに比べ、守るべき範囲が広く、もっと注目されてよい第三者認証制度である。このISMSについてみていこう。

ISMSを認証取得するにはどういう準備をすればよいかみていこう。ISMSはプライバシーマークのように個人情報保護だけでなく、組織が保有する情報資産が対象となるため、認証取得に向けてかなり大変な作業となる。最初のSTEPである「適用範囲の決定」から通常1年近くかかる長丁場である。ISO9001シリーズの取得並みに大変だと考えた方がよいだろう。

ISMSを構築していくにはプロセスアプローチの考え方が基本となる。プロセスアプローチとは、それぞれのプロセスにおいて、何がインプットになるか、プロセスの結果として何がアウトプットとして出るのかを検討、明確化していく考え方である。

例えばリスクを識別し、どういったリスク対応を行えばよいか検討していく一連のプロセスがあるが、このプロセスのインプットはリスクアセスメント実施基準である。インプットのリスクアセスメント実施基準に従ってプロセスが実行されるため、アウトプットは透明化される。担当者や役職者が恣意的なアウトプットを出そうと思っても、何らかの形で不整合が起きてしまう。またアウトプットに問題があるのならインプットとなるリスクアセスメント基準に問題があるので、リスクアセスメント基準をアウトプットとして作り出すプロセスに戻り是正することになる。

ISMS構築にはSTEP1からSTEP9までの一連のプロセスがある。では順番にISMSを構築する手順を具体的にみていく。

●STEP1 ISMSの適用範囲を決定

まずISMSの適用範囲を決める。ISMSの場合、会社全体でもかまわないし、一つの事業部門でもかまわない。また複数の部門にまたがった横断的なマネジメントシステムを一つの組織体として適用範囲にすることもできる。ここで決定した適用範囲が、あとのプロセスの負荷に影響してくる。適用範囲が広ければ、洗い出す情報資産が増え、適用する管理策を検討する時間も増えることになる。適用範囲として事業の特徴、組織、所在地、資産及び技術について決定していく。またこのプロセスで情報セキュリティ上の要求事項を明確にする。例えば法的又は規制要求事項、契約上のセキュリティ義務などである。病院がISMS認証取得に取り組む場合、患者の病歴等は法律として守秘義務が発
生するが、そのような要求事項を明確にしていくプロセスである。

●STEP2 ISMSの基本方針を策定

基本方針(情報セキュリティポリシー)を策定するプロセスである。情報セキュリティポリシーとは組織として適用範囲で示した情報セキュリティに関して責任を負うという意思表示となる。当然、企業のビジョン(経営方針)と整合性がとれている必要があり、経営陣による承認が必要となる。

手順としては、まず適用範囲に含まれる組織の人員構成、規定などの整備状況、情報資産の保有状況、情報システムの利用状況など、情報資産とそれを取り巻く環境を確認する。これらは文書管理規定やシステム運用規定などの資料調査と担当者へのインタビュー調査を組み合わせて洗い出していく。インタビュー調査では利用している情報の種類、情報の取り扱いルール、情報システムの種類、情報セキュリティに関する問題点・不安点、過去に発生したセキュリティ事件・事故などを調査する。

ここで調査した結果は情報セキュリティポリシーに反映させるだけでなくSETP3以降のリスクアセスメントにおいて判断基準を決定する際の基礎資料となる。
またISMSを構築するための組織体制を構築する。実作業を行う情報セキュリティ策定チームのメンバーの人選では、様々な情報の取り扱いに関して議論することになるので適用範囲に含まれる現場だけでなく、法務や総務部門など組織全体を横断する人材を配置する。

情報セキュリティ策定チームの上位には情報セキュリティ委員会を作り、ここがISMS構築で生み出される関連文書を策定していく。この情報セキュリティ委員会が組織におけるISMSの中心的役割となる。組織の保有する情報資産の取り扱いに責任を持ち、情報セキュリティの方向性を提言できるだけの情報セキュリティに理解と実行力をもった組織にする必要がある。必要なら外部コンサルタントのアドバイスを受けることになる。情報セキュリティ委員会から適時、経営陣に承認をもとめ、承認された規定等を関係者にオーソライズすることになる。

【水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド 水谷哲也】
http://allabout.co.jp/career/corporateit/

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  9. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  10. ISMS認証とは何か■第1回■

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×