ISMS適用と重要性を理解し、企業の情報資産を守る

ISMS(情報セキュリティマネジメントシステム)は、情報資産をいかにして守るべきかのガイドラインとなります。
企業は様々な情報資産を保有しており、情報漏洩は経済面と社会的信頼面において大きな損害となり得ます。

ISMSの目的とは

情報セキュリティは機密性・完全性・可用性からなるとされています。
・機密性(Confidentiality)
情報へのアクセス許可のある人だけが情報を利用することができ、許可のない人は情報の使用、閲覧ができないようにすることです。
ID、パスワードでの管理が一般的です。
・完全性(Integrity)
情報資産が正確で、かつ、改ざんされていない状態にあることです。
電子署名の利用が推奨されています。
・可用性(Availability)
情報へのアクセス権限を有する人が必要なときに情報を利用できる状態にあることです。
回線の二重化やバックアップシステムなどは可用性を担保すると言われています。
ISMSは情報の機密性・完全性・可用性を維持しつつ、情報資産に対するリスクマネジメントプロセスを適正に運用するためのガイドラインを示し、企業が情報資産に対するリスクに備えていることを広く社会一般に知らしめることを目的としています。

自社分析によるマネジメント

自社が保有している情報資産にはどのようのものがあり、それらに利害関係を持つ者が、あなたの企業に対してどの程度のセキュリティ対策を「期待」しているかを見極めます。
そのためには、自社を取り巻く環境を的確に分析し、その「期待値」を目安に、リスクマネジメントを行う必要があります。

企業のレベルに合ったセキュリティを明確にする

情報セキュリティにおいては、リスクに対する体制を確立し、実行し、維持・改善することが求められています。
つまり、単に情報セキュリティシステムを導入するだけでは足りず、そのレベルを維持したり、必要に応じて改善したりすることもその目的に含まれます。

情報セキュリティ計画のリスクと機会

情報資産におけるリスクには、例えば、短期的にはリスクでも長期的には会社に利益をもたらす可能性があるという概念は存在しません。
リスクはリスクであり、一度それが顕在化すると即座に損害につながるという認識が必要です。
また、機会というと良い意味で捉えられることが多いですが、情報セキュリティ計画における機会とはリスクを適正に管理しないと必然的にたどり着いてしまう事態のことを指します。
つまり、「リスクと機会」とは、適正にリスクを管理しないと、リスクが顕在化し、必然的に損害という事態に直結しますということを意味します。

情報セキュリティにおけるリスク所有者

リスク所有者とは、リスクが顕在化したときに責任を取る人のことです。
情報資産の種類によってその管理者は異なるので、必然的にリスク所有者も一人とは限りません。
JISQ27001では、「多くの場合、リスク所有者は情報資産の管理者と同一である」と明記されていますが、実務において情報資産を実際に管理する人は一般の従業員である場合もあります。

資産情報管理のための項目一覧

ISMSでは、リスクに対応するための管理策をまとめた「適用宣言書」の作成が要求されています。
管理策の基準としては以下のものがあります。

①情報セキュリティのための方針群
・情報セキュリティのための経営陣の方向性
②情報セキュリティのための組織
・ 内部組織
・ モバイル機器及びテレワーキング
③人的資源のセキュリティ
・雇用前
・雇用期間中
・雇用の終了又は変更
④資産の管理
・資産に対する責任
・情報分類
・媒体の取り扱い
⑤アクセス制御
・アクセス制御に対する業務上の要求事項
・利用者アクセスの管理
・利用者の責任
・システム及びアプリケーションのアクセス制御
⑥暗号
・暗号による管理策
⑦ 物理及び環境的セキュリティ
・セキュリティを保つべき領域
・装置
⑧運用のセキュリティ
・運用の手順及び責任
・マルウェアからの保護
・バックアップ
・ログ取得及び監視
・運用ソフトウェアの管理
・技術的ぜい弱性管理
・情報システムの監査に対する考慮事項
⑨通信のセキュリティ
・ネットワークセキュリティ管理
・情報の転送
⑩システムの取得、開発及び保守
・情報システムのセキュリティ要求事項
・開発及びサポートプロセスにおけるセキュリティ
・ 試験データ
⑪供給者関係
・供給者関係における情報セキュリティ
・供給者のサービス提供の管理
⑫情報セキュリティインシデント管理
・情報セキュリティインシデントの管理及びその改善
⑬事業継続マネジメントにおける情報セキュリティの側面
・情報セキュリティ継続
・冗長性
⑭順守
・法的及び契約上の要求事項の順守
・情報セキュリティのレビュー

こうした管理策を構築するだけでなく、維持・改善していくことも重要です。

 

このようにISMSでは企業に情報資産に対する基本姿勢・具体的な施策・運用上必要な維持、管理といったPDCAサイクルに則ったマネジメントを求めています。
今一度、専門家の意見を取り入れながら、企業の実情にあった情報セキュリティに対する体制の強化を検討することも有効です。