情報セキュリティマネジメントシステム
ISMS(Information Security Management System)はセキュリティ管理のための仕組み
PDCAサイクルを回す
適用範囲
最初に行うのは、組織の状況を理解してISMSの適用範囲を定義すること
事業継続のために必要な、保護すべき情報を考えて範囲を定義する
事業・組織・物理・ネットワークなど様々な観点から決定する
特に境界を決めることが大事
リーダシップ
トップマネジメントのリーダーシップが必要
一般的には社長とか
情報セキュリティ方針と情報セキュリティ目的を確立する
これは経営の一環として全社で組織的に行うことなので
情シス部ではなく経営にかかわる企業トップがリーダーシップをとってやる必要がある
トップマネジメントが必要な責任や権限を割り当てて指揮を取り、支援を行う。
適用宣言書
適用宣言書には必要な管理策、それを含めた理由、実施しているか否かが記述される1
リーダは責任を持つ
計画
情報セキュリティ目的を策定し、対処すべきリスクを決定する必要がある
セキュリティ目的では実施事項、必要な資源、責任者、達成期限、結果の評価方法を決定する
リスクを決定するために、情報セキュリティアセスメントのプロセスを定めて運用する
その結果を考慮して情報セキュリティリスク対応を選択する
組織人が持つべき認識
JIS Q 27001:2014の「7.3 認識」では、3つの事項に対して認識をもたなければいけない
a) 情報セキュリティ方針
b) 情報セキュリティパフォーマンスの向上によって得られる便益を含む、ISMSの有効性に対する自らの貢献
c) ISMS要求事項に適合しないことの意味
運用
計画したことを継続実施して、管理する必要がある
定期的に組織に重大な変化があった場合には、改めて情報セキュリティアセスメント、リスク対応を実施して
新しいリスクに対応できるようにする必要がある
パフォーマンス評価
ISMSの実施においては有効かどうかの評価のために内部監査を行う必要がある
トップマネジメントがマネジメントレビュー2を行い、定期的に確認する
改善(不適合及び是正処理、継続的改善)
パフォーマンス評価の結果を踏まえて是正処置を実行し、それを改善する
不適合の原因を除去し、再発を防止するための是正処置を実行して有効性のレビューを行う
これも継続改善が必要
管理目的及び管理策
管理目的及び管理策のリストが附属書Aとして示されている
これは情報セキュリティのための方針、組織、人的資源のセキュリティ、アクセス制御や暗号、物理的及び環境的セキュリティについて
その目的や管理策がまとめられている
ISMSでは必要なすべての管理策を決定し、必要な管理策が見落とされていないことを検証する
ISMS適合性評価制度
企業のISMSが国際規格に準拠しているかを評価して認定する日本情報経済社会推進協会(JIPDEC)の評価制度
- 認証機関・・・ISMSに適合しているかを審査して登録
- 要員認証機関・・・ISMS審査員の資格を付与する
- 認定機関・・・上記の2機関がその業務を行う能力を備えているか
ISMS認証
審査の結果取得できると、対外的に信頼性を証明できる
官公庁の入札や電子商取引の前提条件になることもある
ISO/IEC 27000
ISO(International Organization for Standardization)とIEC(International Electrotechnical Commision)が共同で策定する情報セキュリティ規格郡
日本ではJIS Q 27000として定義されている
- 27000:2018・・・ファミリー規格の概要や用語の説明
- 27001:2013・・・組織がISMSを確立、導入、運用、監視、レビュー、維持、継続改善のための要求事項
- 27002:2013・・・セキュリティ対策の管理策(ベストプラクティス)
- 27003:2010・・・ISMSを確立、導入、運用、監視、レビュー、維持および改善のためのガイダンス規格
- 27004:2016・・・管理策の有効性を評価するための測定方法の開発および使用に関するガイダンス規格
- 27005:2018・・・認証機関のための要求事項
- 27007:2017・・・ISMS監査に関するガイドライン
- 27014:2013・・・情報セキュリティのガバナンス(統治)のプロセスが記述
- 27017:2015・・・クラウドサービスの情報セキュリティ管理策の実施に関する規格
- 27010:2015・・・部門間及び組織間コミュニケーションのためのISMSに関する規格
- 27011:2016・・・電気通信業界内の組織でのISO27002に基づくセキュリティマネジメント導入を支援するガイドライン規格
ISMSユーザーズガイド
ISMSの適合性評価制度を実施しているJIPDECが提供するガイド
27001:2014の要求事項について説明がある