情報処理のWeb教科書―IPA情報処理試験対策のお供に!
トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ 情報セキュリティ管理 情報セキュリティマネジメントシステム(ISMS)
ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。
この記事の目次です。
1. ISMSとは
2. ISMS適用範囲
3. リーダシップ
4. 計画
5. 運用
6. パフォーマンス評価
7. 改善
8. 管理目的
9. 管理策
10. ISMS適合評価制度
11. ISMS認証
12. JIS Q 27001(ISO/IEC 27001)
13. JIS Q 27002(ISO/IEC 27002)
14. JIS Q 27014(ISO/IEC 27014)
ISMSとは、Information Security Management Systemの略で、情報セキュリティマネジメントシステムのことをいいます。 情報セキュリティ対策の指針として、個別の技術対策だけでなく、組織が保護すべき情報資産を機密性、完全性、可用性などの観点からバランスよく維持管理し、改善していくことを目的とした評価基準です。
ISMSの読み方は、「あいえすえむえす」が一般てきですが、「いすむす」と読むこともあります。
ISMSを運用している組織ではPDCAモデルに基づいて運用していく必要があります。 ISMSにおけるPDCAと実施(Do)や改善(Act)などのフェーズについてまとめています。
ISMSを運用していく上で、ISMSの適用範囲を決める必要があります。 ISMSの適用範囲を決め、構築してから、適用範囲を広げることも可能です。 適用範囲を広げる場合はISMSを再構築する必要があります。
ISMSにおける情報セキュリティ方針は、情報セキュリティに対する組織の意図を示し、方向付けをするものです。
全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針は、 トップマネジメントが確立しなければなりません。
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)における、 トップマネジメントは、組織を指揮し、管理する人々の集まりとして複数名で構成されていてもよいです。
以下ではリーダーシップに関連したIPA情報処理試験の過去問とその解説をまとめています。
JIS Q 27000:2014(情報セキュリティマネジメントシステム―要求事項)において、 情報セキュリティ目的をどのように達成するかについて計画するとき、 決定しなければならない事項として “実施事項”、“責任者”、“達成期限”、“必要な資源”及び“結果の評価方法”を定められています。
ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”は、リスク分析、リスク評価、リスク対応の流れで活動します。
リスクの内容は業界や業種によって異なることから、対象とする組織に適した分析手法を用います。
以下では計画に関連したIPA情報処理試験の過去問とその解説をまとめています。
運用は、ISMSにおけるハイレベルなリスクマネジメントの確立および情報セキュリティにおけるリスクアセスメントならびにリスク対応に関する要求事項が規定されています。
パフォーマンス評価は、ISMSの有効性や適合性を評価するための要求事項が規定されています。
ISMSのパフォーマンス評価は、情報セキュリティパフォーマンスおよびISMSの有効性を監視、測定、分析及び評価して記録に残すとともに、計画に沿った定期的な内部監査を実施するプロセスです。 内部監査やマネジメントレビューを実施します。
組織は、予め定めた間隔で内部監査を行う必要があります。 組織が規定した要求事項がしっかり守られているか、JIS Q 27001に適合しているかどうかの監査を行います。
マネジメントレビューは、トップマネジメントによるレビューです。 トップマネジメントは、組織のISMSが有効に機能しているかどうかをしっかりと確認するために、決められた間隔でISMSをレビューする必要があります。
不適合及び是正処置、継続的改善について見ていきます。
JIS Q 27001(ISO/IEC 27001)の8.2では、ISMSにおける不適合への対応と不適合の再発防止を確実にするための是正処置に関する要求事項を規定しています。
不適合は、要求事項を満たさないことを指します。
是正処置は、不適合の原因を除去し、再発を防止する処置を指します。
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)において、 不適合が発生した場合にその原因を除去し、再発を防止するためのものとして是正処置が定義されています。
継続的改善は、パフォーマンスを高めるために繰り返し行う活動を指します。
規格要求事項では、ISMSの適切性、妥当性及び有効性を継続的に改善することを要求しています。
以下では改善に関連したIPA情報処理試験の過去問とその解説をまとめています。
管理目的は、適用宣言書に記載する管理策が何を意図しているのかを明記するものです。
管理策については、JIS Q 27001(ISO/IEC 27001)の付属書Aにまとめられています。 付属書Aの附番は5~18です。いくつか取り上げていきます。
A.11 物理的及び環境的セキュリティは、施設やオフィス、装置などの物理的及び環境的セキュリティ対策に関する管理目的が定められています。
A.11.2 装置は、資産の損失、損傷、盗難又は劣化、及び組織の業務に対する妨害を防止するための管理目的があり、その9つの管理策で構成されています。
JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の“サポートユーティリティ”に関する例示から、たとえば、サーバ室の空調は、サポートユーティリティになります。
以下ではA.11.2.2 サポートユーティリティに関連したIPA情報処理試験の過去問とその解説をまとめています。
A.11.2.4 装置の保守は、装置は、可用性及び完全性を継続的に維持することを確実にするために、正しく保守することを要求しています。
A.11.2.4 装置の保守の具体的実現例としては以下のようなことが挙げられます。
A.12 運用のセキュリティは、情報セキュリティに影響を与える、組織、業務プロセス、情報処理設備及びシステムの変更を管理することを要求しています。
A.12 運用のセキュリティは、情報処理設備の正確かつセキュリティを保った運用を確実にするための管理目的が定められています。
A.12.1.3 容量・能力の管理は、要求されたシステム性能を満たすことを確実にするために、資源の利用を監視・調整しなければならず、また、将来必要とする容量・能力を予測しなければならないことを要求しています。
A.12.1.3 容量・能力の管理で推奨される要件としては以下のことが挙げられます。
ISMS適合評価制度は、情報セキュリティ対策の指針として、個別の技術対策だけでなく、 組織の情報資産について、機密性、完全性、可用性をバランスよく維持し改善すること基本コンセプトとした制度です。
情報セキュリティのための経営陣の方向性及び支持を規定します。 自社の情報保護方針を示した、いわばセキュリティに対する経営方針であり、特定のシステムを対象にするものではありません。
情報セキュリティ基本方針は、その企業が所有している情報資産を保護するための方針やセキュリティ目標などを定めたものであり、全社員に周知させる必要があります。
また、ビジネス環境や技術が変化すれば、情報資産に対する脅威やセキュリティリスクも変化します。 その都度、見直しをして、現状に合わせて変更していかなければなりません。
以下ではISMS適合評価制度に関連したIPA情報処理試験の過去問とその解説をまとめています。
ISMS認証について見ていきます。
ISMS適合性評価制度において、組織がISMS認証を取得していることから判断できることは、 組織が情報資産を適切に管理し、それを守るための取組みを行っていることです。
以下ではISMS認証に関連したIPA情報処理試験の過去問とその解説をまとめています。
JIS Q 27001はISMS認証基準を定めた国内規格です。この基準の国際規格はISO/IEC 27001です。
JIS Q 27002は、情報セキュリティマネジメントの実践のための規範を定めた国内規格です。 この基準の国際規格はISO/IEC 27002です。
JIS Q 27014は、情報セキュリティガバナンスについての概念及び原則に基づくガイダンスを定めた国内規格です。 この基準の国際規格はISO/IEC 27014です。
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
Copyright (C) 2010-2023 情報処理のWeb教科書. All Rights Reserved. Loarding…