情報セキュリティマネジメントシステム(ISMS)―読み方や基本方針など。
トップ
情報処理の知識体系
テクノロジ系
技術要素
セキュリティ
情報セキュリティ管理
情報セキュリティマネジメントシステム(ISMS)
ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。
目次
この記事の目次です。
1. ISMSとは
ISMSとは、Information Security Management Systemの略で、情報セキュリティマネジメントシステムのことを言います。 情報セキュリティ対策の指針として、個別の技術対策だけでなく、組織が保護すべき情報資産を機密性、完全性、可用性などの観点からバランスよく維持管理し、改善していくことを目的とした評価基準です。
ISMSの読み方
ISMSの読み方は、「あいえすえむえす」が一般てきですが、「いすむす」と読むこともあります。
PDCAモデル
ISMSを運用している組織ではPDCAモデルに基づいて運用していく必要があります。 ISMSにおけるPDCAと実施(Do)や改善(Act)などのフェーズについてまとめています。
2. リーダーシップ
ISMSにおける情報セキュリティ方針は、情報セキュリティに対する組織の意図を示し、方向付けをするものです。
情報セキュリティ方針はトップマネジメントが確立
全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針は、 トップマネジメントが確立しなければなりません。
トップマネジメント
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)における、 トップマネジメントは、組織を指揮し、管理する人々の集まりとして複数名で構成されていてもよいです。
リーダーシップに関連したIPA情報処理試験の過去問題
以下ではリーダーシップに関連したIPA情報処理試験の過去問とその解説をまとめています。
- 平成30年秋 問70 ISMSにおける情報セキュリティ方針―ITパスポート
- 平成30年春 問93 ISMSにおける情報セキュリティ方針―ITパスポート
- 平成29年秋 問68 情報セキュリティ方針―ITパスポート
- 平成30年秋 問02 トップマネジメント―情報セキュリティマネジメント試験 午前
3. 計画
JIS Q 27000:2014(情報セキュリティマネジメントシステム―要求事項)において、 情報セキュリティ目的をどのように達成するかについて計画するとき、 決定しなければならない事項として “実施事項”、“責任者”、“達成期限”、“必要な資源”及び“結果の評価方法”を定められています。
計画に関連したIPA情報処理試験の過去問題
以下では計画に関連したIPA情報処理試験の過去問とその解説をまとめています。
4. 改善
不適合及び是正処置、継続的改善について見ていきます。
是正処置
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)において、 不適合が発生した場合にその原因を除去し、再発を防止するためのものとして是正処置が定義されています。
改善に関連したIPA情報処理試験の過去問題
以下では改善に関連したIPA情報処理試験の過去問とその解説をまとめています。
5. 管理策
情報セキュリティインシデント管理、情報セキュリティの教育及び訓練、法的及び契約上の要求事項の順守など 管理策について見ていきます。
リスク及び機会に対処する活動の流れ
ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”は、 リスク分析、リスク評価、リスク対応の流れで活動します。
ISMSにおけるリスク分析
リスクの内容は業界や業種によって異なることから、対象とする組織に適した分析手法を用います。
サポートユーティリティ
JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の“サポートユーティリティ”に関する例示から、 たとえば、サーバ室の空調は、サポートユーティリティになります。
ISMS適合評価制度に関連したIPA情報処理試験の過去問題
以下ではISMS適合評価制度に関連したIPA情報処理試験の過去問とその解説をまとめています。
- 平成30年春 問70 ISMSにおけるリスク分析―ITパスポート
- 平成29年秋 問57 リスク及び機会に対処する活動―ITパスポート
- 平成31年春 問04 サポートユーティリティ―情報セキュリティマネジメント試験 午前
- 平成29年秋 問12 サポートユーティリティ―情報セキュリティマネジメント試験 午前
6. ISMS適合評価制度
ISMS適合評価制度は、情報セキュリティ対策の指針として、個別の技術対策だけでなく、 組織の情報資産について、機密性、完全性、可用性をバランスよく維持し改善すること基本コンセプトとした制度です。
ISMS適合評価制度の情報セキュリティ基本方針
情報セキュリティのための経営陣の方向性及び支持を規定します。 自社の情報保護方針を示した、いわばセキュリティに対する経営方針であり、特定のシステムを対象にするものではありません。
情報セキュリティ基本方針は、その企業が所有している情報資産を保護するための方針やセキュリティ目標などを定めたものであり、全社員に周知させる必要があります。
また、ビジネス環境や技術が変化すれば、情報資産に対する脅威やセキュリティリスクも変化します。 その都度、見直しをして、現状に合わせて変更していかなければなりません。
ISMS適合評価制度に関連したIPA情報処理試験の過去問題
以下ではISMS適合評価制度に関連したIPA情報処理試験の過去問とその解説をまとめています。
7. ISMS認証
ISMS認証について見ていきます。
ISMS認証を取得していることから判断できること
ISMS適合性評価制度において、組織がISMS認証を取得していることから判断できることは、 組織が情報資産を適切に管理し、それを守るための取組みを行っていることです。
ISMS認証に関連したIPA情報処理試験の過去問題
以下ではISMS認証に関連したIPA情報処理試験の過去問とその解説をまとめています。
もっと知識を広げるための参考
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
更新履歴
- 2019/8/29 計画について追記しました。
- 2019/3/25 改善、管理策について追記しました。
- 2019/3/12 ISMS適合性評価制度について追記しました。
- 2019/3/5 情報セキュリティ方針について追記しました。
- 2019/2/26 リスク及び機会に対処する活動の流れについて追記しました。
- 2018/12/5 トップマネジメントについて追記しました。
- 2018/11/28 ISMSにおける情報セキュリティ方針について追記しました。
- 2018/10/14 記事をUPしました。