ISMSとは

/アセスメント

ISMS

ISMS(情報セキュリティマネジメントシステム)とは、明確な方針や規定に基づき、情報資産のセキュリティ(機密性・完全性・可用性)を維持・管理するための仕組みです。ISMSに関する国際規格はISO/IEC2700ファミリと呼ばれており、日本でもJIS化すると伴に、ISMS適合性評価制度(JIPDEC)が2001年より運用されています。

ISO/IEC2700ファミリの中で特に重要な規格は以下になります。

  • ISO/IEC 27001:情報セキュリティマネジメントシステム要求事項
  • ISO/IEC 27002:情報セキュリティ管理策の実践のための規範

ISO/IEC 27001には、組織がISMSを確立・実施し、継続的に改善するための要求事項が規定されています。ISO/IEC 27002には、組織がISMSを実施するためのガイドラインで、管理策が示されています。

ISMS適合性評価制度

ISMS適合性評価制度とは、組織のISMSが、ISO/IEC 27001に適合しているかの認定を行います。作業の流れは以下になります。

  1. 組織内の適用範囲の決定
  2. 情報セキュリティ方針(ポリシ)の確立
  3. リスクアセスメントの方法を決定
  4. 情報資産、脅威、脆弱性の洗い出し
  5. リスクレベルの算定
  6. リスク対応(回避、移転、軽減、受容)の決定
  7. 管理策の決定
  8. リスク対応計画と適用宣言書の作成

ISMS適合性評価制度は、半年~1年に1回の頻度で継続審査を受けるとともに、3年に1回は更新審査を受ける必要があります。ISMSは、以下のPDCAの4つのステップを繰り返しながら継続的に運用することが推奨されています。

  • 計画・策定(Plan)
  • 導入・運用(Do)
  • 評価・点検(See)
  • 見直し  (Act)

情報セキュリティ管理策

情報セキュリティ管理策(ISO/IEC 27002)は、以下の14のカテゴリから成ります。

  • A05:情報セキュリティのための方針群
  • A06:情報セキュリティのための組織
  • A07:人的資源のセキュリティ
  • A08:資産の管理
  • A09:アクセス制御
  • A10:暗号
  • A11:物理的及び環境的セキュリティ
  • A12:運用のセキュリティ
  • A13:通信のセキュリティ
  • A14:システムの取得、開発及び保守
  • A15:供給者関係
  • A16:情報セキュリティインシデント管理
  • A17:事業継続マネジメントにおける情報セキュリティの側面
  • A18:順守

資産の管理

組織が持つ情報資産を特定し、重要度に応じてレベル分けし管理します。情報の作成、保管、破棄などのライフサイクルのルールや、USBメモリなどの媒体の取り扱いルールを定めます。

アクセス制御

システムや情報資産への認可されていないアクセスを防止します。アクセス制御は個人が特定できる利用者IDで管理し、操作を記録し、定期的に見直す必要があります。特に、特権的アクセス権は職務上最低限の必要性に基づいて割当てる必要があります。

パスワードは堅牢なものを使用し、また、パスワードに代えて暗号による手段や生体認証なども検討することが重要です。

暗号

情報資産の機密性、完全性を保護するため、暗号を利用します。暗号鍵の管理は、生成、配布、保管、破棄などのライフサイクルでルールを作成します。

運用のセキュリティ

マルウェアからの保護、データのバックアップ、ログの取得と管理、技術的脆弱性管理などを実施します。運用の手順書を作成し、責任者を明確にする必要があります。

通信のセキュリティ

ネットワークの分離、通信データの暗号化、ログ監視を実施します。

情報セキュリティインシデント管理

セキュリティインシデント発生時に迅速かつ効果的な対応を行うため、管理層の責任と手順を確立する必要があります。インシデントの監視、検知、ログ収集、分析、報告(エスカレーション)などのルールと手順の作成します。

タイトルとURLをコピーしました