ISMSにおけるPDCAサイクル
ISMSにおいて目的とするところは、
継続的にリスクの回避や軽減ができる管理システムを構築にあります。
継続的にISMSを実現し、セキュリティを向上させ続けるためには、
絶え間ない検証と改善を行う必要があります。
そこでPDCAサイクルによるスパイラルアップが取り入れられています。
Plan:確立リスクに対応した管理策を策定することでISMSを確立する。
情報セキュリティ対策の具体的計画・目標の策定。
セキュリティポリシー(セキュリティに対する考え方を示す基本方針)の作成。
Do:導入および運用策定した管理策に沿ってISMSを実行する。
Check:監視および見直しISMSが確実に実行されているかを評価または測定する。
実施した結果の監視・見直しを行う。
Act:維持および改善Checkの結果に基づき改善を行う。
経営陣による改善・処置を行う。
ISMSの認証取得
ISMSの認証取得をするためには
国際的な情報セキュリティ管理に対する普遍的、包括的なものとしては、
「ISO/IEC 17799(Code of practice for information security management)」
「ISO/IEC TR 13335(GMITS:Guidelines for the Management of IT Security)」
があります。
日本においては、これらの国際標準を踏まえつつ、
財団法人日本情報処理開発協会(JIPDEC)が、
企業のISMSがISO/IEC 17799に準拠していることを認証する
ISMS適合性評価制度を運用しています。
ISMSの認証取得をするためには、
JIPDECの指定する審査登録機関に、認証取得の申請をし、
ISMSに基づく審査と監査を行います。
審査機関からの結果報告を受けて、
JIPDECが事業者を認証済み事業者として登録を行います。
昨今においては、インターネットやITの急速な普及によって、
コンピュータウイルス、不正アクセスなど外部ネットワークからの被害や
情報漏洩などの内部におけるセキュリティ管理のミスなど、
企業の情報管理に対する重要性と必要性が急速に高まっており、
ISMS認証を受ける企業も年々増加しています。
国際的な情報セキュリティ管理に対する普遍的、包括的なものとしては、
「ISO/IEC 17799(Code of practice for information security management)」
「ISO/IEC TR 13335(GMITS:Guidelines for the Management of IT Security)」
があります。
日本においては、これらの国際標準を踏まえつつ、
財団法人日本情報処理開発協会(JIPDEC)が、
企業のISMSがISO/IEC 17799に準拠していることを認証する
ISMS適合性評価制度を運用しています。
ISMSの認証取得をするためには、
JIPDECの指定する審査登録機関に、認証取得の申請をし、
ISMSに基づく審査と監査を行います。
審査機関からの結果報告を受けて、
JIPDECが事業者を認証済み事業者として登録を行います。
昨今においては、インターネットやITの急速な普及によって、
コンピュータウイルス、不正アクセスなど外部ネットワークからの被害や
情報漏洩などの内部におけるセキュリティ管理のミスなど、
企業の情報管理に対する重要性と必要性が急速に高まっており、
ISMS認証を受ける企業も年々増加しています。
ISMSの基本コンセプト(CIA)
JIPDECにおいては
「組織が保護すべき情報資産について、機密性、完全性、可用性を
バランス良く維持し改善することがISMSの要求する主なコンセプトである」
とされています。
具体的な中身としては、次の通りです。
ISMSの基本コンセプト(CIA)
機密性(Confidentiality)
アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
完全性(Integrity)
情報および処理方法が正確であることおよび完全であることを保護すること。
可用性(Availability)
認可された利用者が、必要なときに、情報および関連する資産に
アクセスできることを確実にすること。
「組織が保護すべき情報資産について、機密性、完全性、可用性を
バランス良く維持し改善することがISMSの要求する主なコンセプトである」
とされています。
具体的な中身としては、次の通りです。
ISMSの基本コンセプト(CIA)
機密性(Confidentiality)
アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
完全性(Integrity)
情報および処理方法が正確であることおよび完全であることを保護すること。
可用性(Availability)
認可された利用者が、必要なときに、情報および関連する資産に
アクセスできることを確実にすること。
ISMSとは?
ISMSとは、Information Security Management Systemの略で、
情報セキュリティマネジメントシステムと呼ばれます。
ISMSは、企業などの組織が情報を適切に管理し、
機密を守るための包括的な枠組みをいいます。
包括的というところがポイントです。
単なるコンピュータシステムのセキュリティ対策に留まりません。
情報を扱う際の基本的な方針(セキュリティポリシー)や、
セキュリティポリシーに基づいた具体的な計画、計画の実施・運用、
一定期間ごとの方針・計画の見直しまで含めた、
包括的なリスク管理体系のことをISMSと呼ぶのです。
その目的とするところは、継続的にリスクの回避や軽減ができる
管理システムを構築することにあります。
継続的に、です。
一時的では組織として、意味をなさないからです。
JIPDECの定義では、
「ISMSとは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして
自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、
資源配分してシステムを運用することである」
とされています。
情報セキュリティマネジメントシステムと呼ばれます。
ISMSは、企業などの組織が情報を適切に管理し、
機密を守るための包括的な枠組みをいいます。
包括的というところがポイントです。
単なるコンピュータシステムのセキュリティ対策に留まりません。
情報を扱う際の基本的な方針(セキュリティポリシー)や、
セキュリティポリシーに基づいた具体的な計画、計画の実施・運用、
一定期間ごとの方針・計画の見直しまで含めた、
包括的なリスク管理体系のことをISMSと呼ぶのです。
その目的とするところは、継続的にリスクの回避や軽減ができる
管理システムを構築することにあります。
継続的に、です。
一時的では組織として、意味をなさないからです。
JIPDECの定義では、
「ISMSとは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして
自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、
資源配分してシステムを運用することである」
とされています。
登録:
投稿 (Atom)