ISMS構築対応の道のり
ISMSとは
ISMSとは、「Information Security Management System」の略称で、日本語では情報セキュリティマネジメントシステムと言います。ここで言う情報セキュリティとは、情報の「機密性」「完全性」「可用性」を確保することを言い、これらを自社に必要なセキュリティレベルで運用していくことが必要となります。
機密性:情報が漏れないように管理(許可された者だけが利用できる)
完全性:持っている情報を正確かつ最新の状態で管理
可用性:利用可能であること(情報を使いたいときに使える状態で管理)
またISMSは、国際規格であるISO27001の規格や要求事項に則ったマネジメントシステムを運用し、 認証機関の審査を受けることで取得します。組織単位でリスクアセスメントを行い、「情報セキュリティ向上の仕組みが運用できている」ことを示すための認証です。
ISMSを取得することで、情報の機密性、完全性及び可用性をバランスよく維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることができます。
PDCAサイクル
ISMSの運用では、下記のようなPDCAサイクルが必要とされます。PDCAマネジメントサイクルとは、組織的、継続的な改善を繰り返す仕組みを指します。
1. ISMSの確立
計画(Plan) :問題を整理し、目標を立て、その目標を達成するための計画を立てます。
2. ISMSの導入及び運用
運用(Do):目標と計画をもとに、実際の業務を行います。
3. ISMSの監視及び見直し
評価(Check):実施した業務が計画通り行われて、当初の目標を達成しているかを確認し、評価。
4. ISMSの維持及び改善
改善(Act) :評価結果をもとに、業務の改善を行います。
認証取得のメリット・デメリット
認証を取得することによるメリット・デメリットは以下の通りです。取得目的については会社の事業内容や取引内容、運用体制を踏まえて設定する必要があります。
関連記事:ISMSクラウドセキュリティ認証とは?認証基準や要求事項について解説
関連記事:Pマーク(PMS)とISMSの違い、取得のメリットとは