検索
連載

ISMS(Information Security Management System)とは

ISMSとは情報セキュリティマネジメントシステムの略語であり、組織における情報資産の安全を確保するための枠組みである。

Share
Tweet
LINE
Hatena

 ISMSとは情報セキュリティマネジメントシステムの略語であり、組織における情報資産の安全を確保するための枠組みである。

 ISMS構築に関わる事項はISO/IEC 27000シリーズとして国際規格化されており、用語を定めるISO/IEC 27000、ISMS要求事項を定めるISO/IEC 27001を筆頭とする複数の規格で構成されている。この規格群の中には組織がISO/IEC 27000 シリーズに準拠していることを認証する規格も含まれており、認証を受けることで対外的な信頼を得ることができる。

 ISO/IEC 27000シリーズの規格の一部は和訳され、JISとして定められている。

 ISMSが満たすべき要件はISO/IEC 27001に定められており、それを実践するための規範がISO/IEC 27002に定められている。ISO/IEC 27000では、ISMSの目的として秘匿性(Confidentiality)、完全性(Integrity)、可用性(Availability)が中心に据えられており、これらの頭文字をとって「C.I.A.」と呼ばれる。組織におけるISMSの確立のためには、組織が持つ業務や組織構造の一部としてISMSを組み込むことが重要であり、情報資源だけではなく雇用などの人的資源の管理に関しても定めている。

 ISO/IEC 27000シリーズは、リスクベースでISMSを構築することを定めている。リスクアセスメントを実施し、どのような管理策を実施するかを決定する仕組みが取られている。また、組織におけるセキュリティ基本方針などを見直し、改善するプロセスを定めることで継続的なISMSの維持、改善を行うとしている。

■更新履歴

【2004/1/1】初版公開。

【2017/11/27】最新情報に合わせて内容を書き直しました(セキュリティ・キャンプ実施協議会 著)。


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る