ISMSとは?
ISMSはInformation Security Management Systemの頭文字で、アイエスエムエスと読み、情報セキュリティマネジメントシステムを意味します。
いまやインフラストラクチャー(社会資本)として欠くことのできないITシステム・ネットワークの安全性を保つために、業種や規模を問わず情報を扱う各組織には、自組織の情報セキュリティリスクのアセスメント(評価)を実施して必要なセキュリティレベルを定めたうえで、リスクマネジメント計画の策定・資源配分・システムの運用を行うことが求められています。この一連の活動を管理する仕組みがまさにISMSです。
ところで、ISMSには、国際規格のISO/IEC 27001と日本産業規格のJIS Q 27001(※1)があります。
情報を扱う各組織は、JIS Q 27001に定める「ISMSは、リスクマネジメントプロセスを適用することによって情報の機密性(※2)、完全性(※3)及び可用性(※4)を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える」に基づき、ISMSを構築・運用していることを自己宣言することもできますが、利害関係のない第三者の認証機関に規格の要求事項を満たしていることを認証してもらうこともできます。第三者認証を得た場合のメリットとして次のことが挙げられます。
- 認証による社会的な信頼の獲得
- 第三者の視点による問題点の発見
- 認証を維持するための定期的な審査による継続的改善
2023年3月現在、ISMSの認証機関は26あり、またISMS認証を取得した組織は7,200を超えています。なお、弊社は、2021年12月12日にISMS認証を取得いたしました
(認証登録証番号:IS 754896(ISO/IEC 27001:2013 / JIS Q 27001:2014適合)。
注
※1:ISMSの要求事項(基準)」についての規格。以下の※2~※5の各用語の定義は、JIS Q 27000(ISMSの用語についての規格)に規定
※2:認可されていない個人、エンティティ(※5)又はプロセスに対して、情報を使用させず、また、開示しない特性
※3:正確さ及び完全さの特性
※4:認可されたエンティティ(※5)が要求したときに、アクセス及び使用が可能である特性
※5:“実体”、“主体”などともいい、情報セキュリティの文脈においては、情報を使用する組織及び人、情報を扱う設備、ソフトウェア及び物理的媒体などの意味
最終更新日:
