ISMS【Information Security Management System】
1. ISMSとは
情報セキュリティの問題として、インターネット上のホームページの改ざん、ハードウェア/ソフトウェアのトラブルや関係者による情報の漏洩などが存在しており、それら個別の技術対策は様々であり、それぞれのレベルで実施されていると思われる。
ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。
組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが情報セキュリティマネジメントシステム(ISMS)の基本コンセプトである。(ISO/IEC 13335-1:2004より引用)
●機密性:認可されていない個人、エンティティ(団体等)又はプロセスに対して情報を使用不可又は非公開にする特性。
●完全性:資産の正確さ及び完全さを保護する特性。
●可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。
2. ISMSのポイント
ISO/IEC 27001では、組織においてISMSを確立、導入、運用、監視、見直し、維持し、かつそのISMSの有効性を改善する際に、プロセスアプローチを採用することを奨励している。
ISMS基本方針を基に、
●Plan : 情報セキュリティ対策の具体的計画・目標を策定する。
●Do : 計画に基づいて対策の導入・運用を行う。
●Check : 実施した結果の監視・見直しを行う。
●Act : 経営陣による改善・処置を行う。
このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図る。
ISMS
情報セキュリティの問題として、インターネット上のホームページの改ざん、ハードウェア/ソフトウェアのトラブルや関係者による情報の漏洩などが存在しており、それら個別の技術対策は様々であり、それぞれのレベルで実施されていると思われる。
ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。
組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが情報セキュリティマネジメントシステム(ISMS)の基本コンセプトである。(ISO/IEC 13335-1:2004より引用)
●機密性:認可されていない個人、エンティティ(団体等)又はプロセスに対して情報を使用不可又は非公開にする特性。
●完全性:資産の正確さ及び完全さを保護する特性。
●可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。
2. ISMSのポイント
ISO/IEC 27001では、組織においてISMSを確立、導入、運用、監視、見直し、維持し、かつそのISMSの有効性を改善する際に、プロセスアプローチを採用することを奨励している。
ISMS基本方針を基に、
●Plan : 情報セキュリティ対策の具体的計画・目標を策定する。
●Do : 計画に基づいて対策の導入・運用を行う。
●Check : 実施した結果の監視・見直しを行う。
●Act : 経営陣による改善・処置を行う。
このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図る。
ISMS
2006年02月07日(火) 19:35:28 Modified by mizunobara