ISMS(情報セキュリティマネジメントシステム)とは

用語

ISMSとは

ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。

ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。

JIS Q 27001:2014の概要

JIS Q 27001(ISO/IEC 27001)は、ISMSの要求事項を定めた規格であり、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供することを目的として作成されている。

ISMSの確立及び実施について、それをどのように実現するかという方法ではなく、組織が何を行うべきかを主として記述している。この規格は以下のために用いることができる。

● 組織のマネジメント及び業務プロセスを取り巻くリスクの変化への対応
JIS Q 27001では、組織は、自らのニーズ及び目的、情報セキュリティ要求事項、組織が用いているプロセス、並びに組織の規模及び構造を考慮して、ISMSの確立及び実施を行う。これは、多くの情報を取り扱うようになっている、現代の組織のマネジメント及び業務プロセスを取り巻くリスクの変化に対応できるように、組織基盤を構築する抜本的な業務改革をする目的に適している。

● 情報セキュリティ要求事項を満たす組織の能力を内外で評価するための基準
JIS Q 27001は、情報セキュリティ要求事項を満たす組織の能力を、パフォーマンス評価及び内部監査などにより、組織の内部で評価する基準としても、第二者監査・第三者監査といわれる、外部関係者が評価するための基準としても用いることができる。

ISMS(情報セキュリティマネジメントシステム)とは - 情報マネジメントシステム認定センター(ISMS-AC)

コメント

タイトルとURLをコピーしました