情報セキュリティマネジメントシステム（ISMS）―読み方や基本方針など。

トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ 情報セキュリティ管理 情報セキュリティマネジメントシステム（ISMS）

ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。

▲記事トップへ

目次

この記事の目次です。

1. ISMSとは
2. ISMS適用範囲
3. リーダシップ
4. 計画
5. 運用
6. パフォーマンス評価
7. 改善
8. 管理目的
9. 管理策
10. ISMS適合評価制度
11. ISMS認証
12. JIS Q 27001（ISO/IEC 27001）
13. JIS Q 27002（ISO/IEC 27002）
14. JIS Q 27014（ISO/IEC 27014）

もっと知識を広げるための参考
更新履歴

1. ISMSとは

ISMSとは、Information Security Management Systemの略で、情報セキュリティマネジメントシステムのことを言います。 情報セキュリティ対策の指針として、個別の技術対策だけでなく、組織が保護すべき情報資産を機密性、完全性、可用性などの観点からバランスよく維持管理し、改善していくことを目的とした評価基準です。

ISMSの読み方

ISMSの読み方は、「あいえすえむえす」が一般てきですが、「いすむす」と読むこともあります。

PDCAモデル

ISMSを運用している組織ではPDCAモデルに基づいて運用していく必要があります。 ISMSにおけるPDCAと実施（Do）や改善（Act）などのフェーズについてまとめています。

詳細

2. ISMS適用範囲

ISMSを運用していく上で、ISMSの適用範囲を決める必要があります。 ISMSの適用範囲を決め、構築してから、適用範囲を広げることも可能です。 適用範囲を広げる場合はISMSを再構築する必要があります。

3. リーダーシップ

ISMSにおける情報セキュリティ方針は、情報セキュリティに対する組織の意図を示し、方向付けをするものです。

情報セキュリティ方針はトップマネジメントが確立

全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針は、 トップマネジメントが確立しなければなりません。

トップマネジメント

JIS Q 27000:2014（情報セキュリティマネジメントシステム―用語）における、 トップマネジメントは、組織を指揮し、管理する人々の集まりとして複数名で構成されていてもよいです。

リーダーシップに関連したIPA情報処理試験の過去問題

以下ではリーダーシップに関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年秋 問70 ISMSにおける情報セキュリティ方針―ITパスポート
• 平成30年春 問93 ISMSにおける情報セキュリティ方針―ITパスポート
• 平成29年秋 問68 情報セキュリティ方針―ITパスポート
• 平成30年秋 問02 トップマネジメント―情報セキュリティマネジメント試験 午前

4. 計画

JIS Q 27000:2014（情報セキュリティマネジメントシステム―要求事項）において、 情報セキュリティ目的をどのように達成するかについて計画するとき、 決定しなければならない事項として “実施事項”、“責任者”、“達成期限”、“必要な資源”及び“結果の評価方法”を定められています。

リスク及び機会に対処する活動の流れ

ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”は、リスク分析、リスク評価、リスク対応の流れで活動します。

ISMSにおけるリスク分析

リスクの内容は業界や業種によって異なることから、対象とする組織に適した分析手法を用います。

計画に関連したIPA情報処理試験の過去問題

以下では計画に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年春 問70 ISMSにおけるリスク分析―ITパスポート
• 平成29年秋 問57 リスク及び機会に対処する活動―ITパスポート
• 平成31年春 問08 情報セキュリティマネジメントシステム―要求事項―情報セキュリティマネジメント試験 午前

5. 運用

運用は、ISMSにおけるハイレベルなリスクマネジメントの確立および情報セキュリティにおけるリスクアセスメントならびにリスク対応に関する要求事項が規定されています。

6. パフォーマンス評価

パフォーマンス評価は、ISMSの有効性や適合性を評価するための要求事項が規定されています。

ISMSのパフォーマンス評価とは

ISMSのパフォーマンス評価は、情報セキュリティパフォーマンスおよびISMSの有効性を監視、測定、分析及び評価して記録に残すとともに、計画に沿った定期的な内部監査を実施するプロセスです。 内部監査やマネジメントレビューを実施します。

内部監査

組織は、予め定めた間隔で内部監査を行う必要があります。 組織が規定した要求事項がしっかり守られているか、JIS Q 27001に適合しているかどうかの監査を行います。

マネジメントレビュー

マネジメントレビューは、トップマネジメントによるレビューです。 トップマネジメントは、組織のISMSが有効に機能しているかどうかをしっかりと確認するために、決められた間隔でISMSをレビューする必要があります。

7. 改善

不適合及び是正処置、継続的改善について見ていきます。

不適合及び是正処置

JIS Q 27001（ISO/IEC 27001）の8.2では、ISMSにおける不適合への対応と不適合の再発防止を確実にするための是正処置に関する要求事項を規定しています。

不適合

不適合は、要求事項を満たさないことを指します。

是正処置

是正処置は、不適合の原因を除去し、再発を防止する処置を指します。

JIS Q 27000:2014（情報セキュリティマネジメントシステム―用語）において、 不適合が発生した場合にその原因を除去し、再発を防止するためのものとして是正処置が定義されています。

継続的改善

継続的改善は、パフォーマンスを高めるために繰り返し行う活動を指します。

規格要求事項では、ISMSの適切性、妥当性及び有効性を継続的に改善することを要求しています。

改善に関連したIPA情報処理試験の過去問題

以下では改善に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成29年秋 問10 原因を除去し、再発を防止するためのもの―情報セキュリティマネジメント試験 午前

8. 管理目的

管理目的は、適用宣言書に記載する管理策が何を意図しているのかを明記するものです。

9. 管理策

管理策については、JIS Q 27001（ISO/IEC 27001）の付属書Aにまとめられています。 付属書Aの附番は5～18です。いくつか取り上げていきます。

A.11 物理的及び環境的セキュリティ

A.11 物理的及び環境的セキュリティは、施設やオフィス、装置などの物理的及び環境的セキュリティ対策に関する管理目的が定められています。

A.11.2 装置

A.11.2 装置は、資産の損失、損傷、盗難又は劣化、及び組織の業務に対する妨害を防止するための管理目的があり、その9つの管理策で構成されています。

A.11.2.2 サポートユーティリティ

JIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）の“サポートユーティリティ”に関する例示から、たとえば、サーバ室の空調は、サポートユーティリティになります。

A.11.2.2 サポートユーティリティに関連したIPA情報処理試験の過去問題

以下ではA.11.2.2 サポートユーティリティに関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成31年春 問04 サポートユーティリティ―情報セキュリティマネジメント試験 午前
• 平成29年秋 問12 サポートユーティリティ―情報セキュリティマネジメント試験 午前

A.11.2.4 装置の保守

A.11.2.4 装置の保守は、装置は、可用性及び完全性を継続的に維持することを確実にするために、正しく保守することを要求しています。

A.11.2.4 装置の保守の具体的実現例

A.11.2.4 装置の保守の具体的実現例としては以下のようなことが挙げられます。

• 点検、維持管理の頻度、方法の明確化
• 点検維持管理の担当者の明確化
• すべての点検、修理、維持管理の記録の維持
• 専門性が必要な装置に対する外部との保守契約の締結

A.12 運用のセキュリティ

A.12 運用のセキュリティは、情報セキュリティに影響を与える、組織、業務プロセス、情報処理設備及びシステムの変更を管理することを要求しています。

A.12 運用のセキュリティ

A.12 運用のセキュリティは、情報処理設備の正確かつセキュリティを保った運用を確実にするための管理目的が定められています。

A.12.1.3 容量・能力の管理

A.12.1.3 容量・能力の管理は、要求されたシステム性能を満たすことを確実にするために、資源の利用を監視・調整しなければならず、また、将来必要とする容量・能力を予測しなければならないことを要求しています。

A.12.1.3 容量・能力の管理で推奨される要件

A.12.1.3 容量・能力の管理で推奨される要件としては以下のことが挙げられます。

• 現在及び将来のサービスに対する需要
• 可用性、サービス継続及びサービスレベルについて合意した要求事項から予想される影響
• サービス容量・能力を拡張させるための期間、しきい値及び費用
• 法令、規制、契約又は組織変更上の潜在的影響
• 新規技術及び新規技法による潜在的影響
• 予測分析を可能にする手順、又はその参照

10. ISMS適合評価制度

ISMS適合評価制度は、情報セキュリティ対策の指針として、個別の技術対策だけでなく、 組織の情報資産について、機密性、完全性、可用性をバランスよく維持し改善すること基本コンセプトとした制度です。

ISMS適合評価制度の情報セキュリティ基本方針

情報セキュリティのための経営陣の方向性及び支持を規定します。 自社の情報保護方針を示した、いわばセキュリティに対する経営方針であり、特定のシステムを対象にするものではありません。

情報セキュリティ基本方針は、その企業が所有している情報資産を保護するための方針やセキュリティ目標などを定めたものであり、全社員に周知させる必要があります。

また、ビジネス環境や技術が変化すれば、情報資産に対する脅威やセキュリティリスクも変化します。 その都度、見直しをして、現状に合わせて変更していかなければなりません。

ISMS適合評価制度に関連したIPA情報処理試験の過去問題

以下ではISMS適合評価制度に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成21年春 問40 ISMS適合評価制度における情報セキュリティ基本方針―応用情報技術者 午前

11. ISMS認証

ISMS認証について見ていきます。

ISMS認証を取得していることから判断できること

ISMS適合性評価制度において、組織がISMS認証を取得していることから判断できることは、 組織が情報資産を適切に管理し、それを守るための取組みを行っていることです。

ISMS認証に関連したIPA情報処理試験の過去問題

以下ではISMS認証に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成29年秋 問80 ISMS適合性評価制度―ITパスポート

12. JIS Q 27001（ISO/IEC 27001）

JIS Q 27001はISMS認証基準を定めた国内規格です。この基準の国際規格はISO/IEC 27001です。

13. JIS Q 27002（ISO/IEC 27002）

JIS Q 27002は、情報セキュリティマネジメントの実践のための規範を定めた国内規格です。 この基準の国際規格はISO/IEC 27002です。

14. JIS Q 27014（ISO/IEC 27014）

JIS Q 27014は、情報セキュリティガバナンスについての概念及び原則に基づくガイダンスを定めた国内規格です。 この基準の国際規格はISO/IEC 27014です。

もっと知識を広げるための参考

• 情報セキュリティ

  情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

• テクノロジ系

  情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

更新履歴

• 2022/8/29 ISMSのパフォーマンス評価とはについて追記しました。
• 2022/7/22 JIS Q 270XX（ISO/IEC 270XX）、管理策について追記しました。
• 2022/7/21 運用、パフォーマンス評価、管理目的について追記しました。
• 2022/7/20 ISMS適用範囲について追記しました。
• 2019/8/29 計画について追記しました。
• 2019/3/25 改善、管理策について追記しました。
• 2019/3/12 ISMS適合性評価制度について追記しました。
• 2019/3/5 情報セキュリティ方針について追記しました。
• 2019/2/26 リスク及び機会に対処する活動の流れについて追記しました。
• 2018/12/5 トップマネジメントについて追記しました。
• 2018/11/28 ISMSにおける情報セキュリティ方針について追記しました。
• 2018/10/14 記事をUPしました。

戻る