国際基準システム(ISMS)とは

ISMS(Information Security Management System: ISO/IEC2700シリーズの総称)とは、企業や公的機関などの情報セキュリティに対する包括的な管理体制を構築、運用するための方法をまとめた国際標準です。

ISMSには、認証制度が整備されており、日本ではJIPDEC(一般財団法人日本情報経済社会推進協会)が認めた認証機関により、組織がISMSに基づいた情報セキュリティマネジメントを実施していることを評価、認証することになっています。

ISMSは、以下の2つのステップで構成されています。

  • 組織ごとの情報セキュリティマネジメントをどのように行なうかという手順の確立
  • 自らの組織(自組織)で決定したマネジメントシステムの運用にあたって、どのようにマネジメントを実行し、その結果をどのように次の運用に生かすか(PDCAを回していく)

マネジメントシステム確立にあたって、自組織の情報資産に対するリスクの洗い出しと最小化のための措置を行なうことがポイントになってきます。

ISMSでは、これを組織的かつ継続的に行なっていく標準的な方法論、管理策が一般化されています。

情報セキュリティリスクは、組織のIT化の進歩や、外部からの脅威の変化により変動していきます。

そのため、一度マネジメントの体制を確立したからと、その体制を維持し続けていればよいというわけではないのです

マネジメントの体制を定期的に、実行結果や内部、外部の環境の変化に基づいて見直し、改善するプロセスが必要になります。

ISMSの国際標準自体も、逐次ヴァージョンアップが行なわれています。

ISMSは、組織が情報セキュリティマネジメントをどのように行なうかをまとめたものですが、効果的に活用するにはいくつかの課題をクリアする必要があります。

 「実際にどのように具体化するか」は規定されていない

情報セキュリティリスクは、業種やそれに対応して扱う情報資産によって大きく異なります。

ISMS認証では、個々の情報セキュリティ対策の有効性はそれぞれの企業、組織が自ら判断することになっており、有効性の判断が行なわれているかどうかのみチェックされています。

具体的な施策の有効性の判断は、專門知識が必要になりますが、すべての企業や組織にその專門性が準備されているとは言い難い状況です。

現実には具体的な実装レベルでの対策不備が出てくることになってしまうでしょう。

 認証を受けること自体が目的化してしまう

ISMSの認証、継続審査にはそれなりの準備が必要です。

情報セキュリティポリシーの制定をはじめとするドキュメント類の整備、PDCAを回すための記録管理などの準備と稼働が必要になるため、一般的にISMS認証に対応するための專門組織が用意されています。

この専門組織はISMS認証を着実に取得することが目標になりがちで、現場の実態とのかい離が生じがちです。

認証にあたって指摘された事項は、次回の認証までの改善が要求されるので、継続的な認証取得のために、この改善事項への対処が優先されがちです。

しかし現実には、セキュリティリスクは常に変化します。

優先順位の高い対処が次の認証までの間に発生したとしても、認証取得が優先され、後回しにされることもあります。

ISMSは国際標準にもなっている、非常に優れたマネジメント方法論であるといえます。

しかし、「この認証を取得しているから自組織は大丈夫」という考えは適切ではありません。

あくまで、自組織の情報セキュリティマネジメントが適切に行なわれているかどうか、定期的にチェックするための手段であると考える必要があります。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする