##ISMSとは
情報セキュリティに関する国際規格の1つまたその取り組みです。「情報セキュリティマネジメントシステム」とも呼ばれています。リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性を維持・改善し、リスクを適切に管理しているという信頼を関係者(取引会社や顧客)に与えることにあります。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部としてかつその中に組み込むことが重要です。
##情報セキュリティの3要素
前述しましたが情報セキュリティの要素は3つあります。
■機密性
悪意のある利用や人的ミスを防ぐためのアクセス権等の設定
・情報漏えい防止、アクセス権の設定などの対策を講じる
■完全性
意図しない情報の変更を防ぐために行う改ざん防止策やウイルスの検出ソフトの導入
・改ざん防止、検出などが行える仕組み(システム導入など)作る
■可用性
情報資産を必要なときに使用できるようにしておくこと
・電源対策(UPS導入、自家発電用のタップなど)、システム二重化、バックアップ、災害復旧計画(BCP)などの対策を講じる
##ISMS認証を取得するメリット・デメリット
メリットとしては、社内のセキュリティを制度として向上させられる点です。自社で取り扱う情報資産を個別にどのように管理し、取り扱うのかなど具体的な利用方法に関して詳細に取り決めを行うので高水準なリスク管理が行えます。またISMSを取得することで、外部の取引先企業や顧客への信頼感を生める点です。全社的に情報セキュリティ対策を継続して実施していることを外部に証明できますのでメリットが大きいです。その一方デメリットとしては、社内に新たな制度を導入することで発生する工数です。また上長からの承認が必要になるケースもあるため、どうしても業務工数が増えてしまいます。そのため、人事総務部や営業部など個人情報や契約情報などの情報を扱う部門は手続きが今まで以上に面倒になる可能性が高いです。
##プライバシーマークとの違いについて
情報セキュリティという観点からプライバシーマークと類似しています。
ISMSは国際標準規格および日本工業規格に準拠した取り組みですが、プライバシーマークは日本工業規格に準拠した取り組みです。対象となる範囲も異なり、ISMSは全ての情報資産であるのに対して、プライバシーマークは個人情報に特化しています。
##ISMS取得の大まかな流れ
第三者機関に申請し審査を受けることで取得できます。
■流れ
1、2、3、7に関しては認識合わせや進捗確認など各フェーズの打合せを適時実施することが
望ましい
1、適用範囲の決定
2、セキュリティに対する方針の作成
3、リスクアセスメントと実施手順の策定
4、社内教育と導入
5、内部監査とマネジメントレビュー
7、5を踏まえてのドキュメントの加筆、修正
6、審査機関による審査
■適用範囲の決定
全社的に行うこともできますが、部署単位での認証可能。
■セキュリティに対する方針の作成
なぜ取得するのかといった方針を決めなければいけません。上述した情報セキュリティの三大要件に基づき、方針を定めた文書を作成していきます。これを外部の企業や顧客へ開示する上でも必要になります。
■社内教育と導入
全従業員に実施必要があります(実施履歴も残します)。上記で定めた方針と手順書を元に、社員への教育を実施します。
■内部監査とレビュー
社内での実施した後に、内部監査担当者によって実施の状況やISMS認証が有効な取り組みとして実施されているかをチェックします。その後2で決めた方針を包括しているかどうか、他に改善策は考えられないかなどを見直すレビューを行います。
■審査機関による審査
第三者機関による審査が行われます。審査に1日目は文書審査と2日目は社内での実施状況をチェックする現場審査があります。(経営者・役員や各部署の管理監督職などはインタビューもありますので以前審査を受けたときは対応が結構大変だった記憶があります...)
##最後に
審査にあたり全社的な情報資産の洗い出しやリスクアセスメント策定が必要になるため労力はかかりますが、セキュリティ上のリスクを考えると得られるメリットはとても大きいです。