情報処理のWeb教科書―IPA情報処理試験対策のお供に!

情報セキュリティマネジメントシステム(ISMS)―読み方や基本方針など。

トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ 情報セキュリティ管理 情報セキュリティマネジメントシステム(ISMS)

ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。

▲記事トップへ

目次

この記事の目次です。

1. ISMSとは

2. リーダシップ

3. 計画

4. 改善

5. 管理策

6. ISMS適合評価制度

7. ISMS認証

もっと知識を広げるための参考

更新履歴

1. ISMSとは

ISMSとは、Information Security Management Systemの略で、情報セキュリティマネジメントシステムのことを言います。 情報セキュリティ対策の指針として、個別の技術対策だけでなく、組織が保護すべき情報資産を機密性、完全性、可用性などの観点からバランスよく維持管理し、改善していくことを目的とした評価基準です。

ISMSの読み方

ISMSの読み方は、「あいえすえむえす」が一般てきですが、「いすむす」と読むこともあります。

PDCAモデル

ISMSを運用している組織ではPDCAモデルに基づいて運用していく必要があります。 ISMSにおけるPDCAと実施(Do)や改善(Act)などのフェーズについてまとめています。

詳細

2. リーダーシップ

ISMSにおける情報セキュリティ方針は、情報セキュリティに対する組織の意図を示し、方向付けをするものです。

情報セキュリティ方針はトップマネジメントが確立

全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針は、 トップマネジメントが確立しなければなりません。

トップマネジメント

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)における、 トップマネジメントは、組織を指揮し、管理する人々の集まりとして複数名で構成されていてもよいです。

リーダーシップに関連したIPA情報処理試験の過去問題

以下ではリーダーシップに関連したIPA情報処理試験の過去問とその解説をまとめています。

3. 計画

JIS Q 27000:2014(情報セキュリティマネジメントシステム―要求事項)において、 情報セキュリティ目的をどのように達成するかについて計画するとき、 決定しなければならない事項として “実施事項”、“責任者”、“達成期限”、“必要な資源”及び“結果の評価方法”を定められています。

計画に関連したIPA情報処理試験の過去問題

以下では計画に関連したIPA情報処理試験の過去問とその解説をまとめています。

4. 改善

不適合及び是正処置、継続的改善について見ていきます。

是正処置

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)において、 不適合が発生した場合にその原因を除去し、再発を防止するためのものとして是正処置が定義されています。

改善に関連したIPA情報処理試験の過去問題

以下では改善に関連したIPA情報処理試験の過去問とその解説をまとめています。

5. 管理策

情報セキュリティインシデント管理、情報セキュリティの教育及び訓練、法的及び契約上の要求事項の順守など 管理策について見ていきます。

リスク及び機会に対処する活動の流れ

ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”は、 リスク分析、リスク評価、リスク対応の流れで活動します。

ISMSにおけるリスク分析

リスクの内容は業界や業種によって異なることから、対象とする組織に適した分析手法を用います。

サポートユーティリティ

JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の“サポートユーティリティ”に関する例示から、 たとえば、サーバ室の空調は、サポートユーティリティになります。

ISMS適合評価制度に関連したIPA情報処理試験の過去問題

以下ではISMS適合評価制度に関連したIPA情報処理試験の過去問とその解説をまとめています。

6. ISMS適合評価制度

ISMS適合評価制度は、情報セキュリティ対策の指針として、個別の技術対策だけでなく、 組織の情報資産について、機密性、完全性、可用性をバランスよく維持し改善すること基本コンセプトとした制度です。

ISMS適合評価制度の情報セキュリティ基本方針

情報セキュリティのための経営陣の方向性及び支持を規定します。 自社の情報保護方針を示した、いわばセキュリティに対する経営方針であり、特定のシステムを対象にするものではありません。

情報セキュリティ基本方針は、その企業が所有している情報資産を保護するための方針やセキュリティ目標などを定めたものであり、全社員に周知させる必要があります。

また、ビジネス環境や技術が変化すれば、情報資産に対する脅威やセキュリティリスクも変化します。 その都度、見直しをして、現状に合わせて変更していかなければなりません。

ISMS適合評価制度に関連したIPA情報処理試験の過去問題

以下ではISMS適合評価制度に関連したIPA情報処理試験の過去問とその解説をまとめています。

7. ISMS認証

ISMS認証について見ていきます。

ISMS認証を取得していることから判断できること

ISMS適合性評価制度において、組織がISMS認証を取得していることから判断できることは、 組織が情報資産を適切に管理し、それを守るための取組みを行っていることです。

ISMS認証に関連したIPA情報処理試験の過去問題

以下ではISMS認証に関連したIPA情報処理試験の過去問とその解説をまとめています。

もっと知識を広げるための参考

更新履歴

戻る

スポンサーリンク

情報処理の知識体系

各試験の問題と解説

ランダム出題・採点アプリ

プログラミング

スポンサーリンク