ISMS
ISMSとは
情報セキュリティマネジメントシステム(Information Security Management System)は、組織における情報資産(社内にある個人情報や機密情報など)のセキュリティを管理するための枠組みで、ISMSを策定し、実施することです。
ISMSはInformation Security Management Systemの頭文字を取った略語です。
広告サイトへ
ISMS構築
事前準備
-ISMS委員会発足
-構築の基本方針と目的の確認
-構築のスケジュールと予算の見積もり
-基本計画書の作成と報告
構築ステップ
ISMSの確立は、大前提として3つのフェーズに分けられています。
【フェーズ1】ISMSの適用範囲及び基本方針の確立
ステップ1:ISMSの適用範囲を決定する → 「ISMSの適用範囲」
ステップ2:ISMSの基本方針を策定する → 「基本方針文書」
【フェーズ2】リスクアセスメントに基づいての管理策選択
ステップ3:リスクアセスメントの体系的な取り組み方法を策定する
-リスクマネジメント実施基準
-管理目的と管理策の候補リスト、ISMS基準以外の追加管理策リスト
ステップ4:リスクを識別する → 「リスク一覧資産目録」
ステップ5:リスクアセスメントを実施する → 「リスクアセスメント結果報告」
ステップ6:リスク対応を実施する → 「リスク対応結果報告」
ステップ7:管理目的と管理策を選択する → 「対応基準」
【フェーズ3】リスクの適切な対応計画の策定
ステップ8:適用宣言書を作成する → 「適用宣言書」
ステップ9:残留リスクを承認し、ISMSの実施を許可するISMS認証
「ISMS認証」は、財団法人・日本情報処理開発協会(JIPDEC)が定めた評価制度( ISMS適合性評価制度)です。 指定の審査機関が企業の情報セキュリティマネジメントシステムを審査し、「ISMS認証基準」に準拠していれば(要求事項を満たしていれば)、認証(ISO27001)を与えるというものです。
また、「ISMS認証」の他に「ISMSクラウドセキュリティ認証」があります。ISMSクラウドセキュリティ認証は、クラウドサービスに関する管理策が適切に導入、実施されていることを認証します。ISMSクラウドセキュリティ認証は通常のISMS認証の取得が前提となっている付属認証です。
ISMS認証取得
ISMSの構築から認証取得までは、基本的に次の流れになります。
ステップ①:計画の策定
ISMS認証取得に向けて計画を策定します。ISMS取得担当者や専任グループを設けて、または外部のコンサルタントに委託するのもこの初期段階からスタートすることが一般的です。
ステップ②:計画の実施(ISMSの構築・整備)
ステップ①で立てた計画を実施し、組織のISMSを構築・整備します。組織範囲や適用規模によっては数か月か年単位の時間が必要になることもあります。
ステップ③:内部監査・改善
ステップ②の「計画の実施」ができたところで、事前に定めた担当者による内部監査を実施します。内部監査が終わったら、経営者に報告を行って、改善のための指導を行います。
ステップ④:認証機関への申請
ステップ③の「内部監査・改善」まで終わり、ISMS認証の準備ができたら認証機関へ申請します。
なお、認証機関は、認定機関であるISMS認定センターによって認定された企業や機関です。
ステップ⑤:認証機関による審査(1次・2次)
申請が受理されると、認証機関による審査が2回に分けて行われます。認証機関によって進め方は異なります。
ステップ⑥:認証登録
審査に合格すると、無事に認証され、ISMS-ACのホームページでも公開されます。
中間審査・再認証審査 審査を通っても、年に1回以上の中間審査(サーベイランス審査)、3年ごとに更新のための再認証審査が実施されます。継続してISMSが適切に機能するよう、認証後も監査や改善、教育などを実施していくことが必要です。
PDCAモデルの運用
ISMS 認証(ISO27001)を取得している企業は、会社内でマネジメントシステムを構築・運用する必要があり、ISMSプロセスに適用されるPDCAモデル(PDCAサイクル)に沿ってぐるぐると運用して行きます。これは、Plan・Do・Check・Actを順番に回していくことで次の運用へとつながる仕組みになっています。
次のFig. ISMS-PDCAを参照ください。
珈琲きゃろっと
ディスカッション
コメント一覧
まだ、コメントがありません