ISMS
ISMSとISO 27001
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は、情報セキュリティを組織的かつ継続的に管理するための仕組みです。その国際規格がISO/IEC 27001であり、認証を取得することで情報セキュリティの信頼性を対外的に示すことができます。
ISO 27001の構成
ISO 27001は大きく2つの部分で構成されています。
- 本文(本体要求事項):ISMSの構築・運用・維持・改善のプロセスを規定(4章〜10章)
- 附属書A(管理策):93の管理策(2022年版)を4つのテーマに分類
- 組織的管理策(37項目)
- 人的管理策(8項目)
- 物理的管理策(14項目)
- 技術的管理策(34項目)
PDCAサイクルによる継続的改善
ISMSの根幹はPDCAサイクル(Plan-Do-Check-Act)による継続的改善です。
| フェーズ | 内容 | ひとり情シスの実務 |
|---|---|---|
| Plan(計画) | リスクアセスメント、対策の計画 | 情報資産の洗い出し、リスク評価表の作成 |
| Do(実行) | 対策の実施、教育訓練 | 技術的対策の導入、従業員研修の実施 |
| Check(点検) | 内部監査、有効性の確認 | ルールの遵守状況確認、ログレビュー |
| Act(改善) | 是正措置、マネジメントレビュー | 発見された問題点の改善、計画の見直し |
リスクアセスメントの実施方法
ISMSの中核となるリスクアセスメントの手順です。
- 情報資産の特定:サーバー、PC、データ、紙書類など、守るべき資産をリスト化
- 脅威の特定:各資産に対する脅威を洗い出す(不正アクセス、火災、誤操作等)
- 脆弱性の特定:脅威を受けやすい弱点を特定(パッチ未適用、施錠なし等)
- リスク値の算出:「資産価値 × 脅威 × 脆弱性」でリスクの大きさをスコア化
- リスク対応の決定:リスク受容基準を超えるものについて対策を決定
- リスク低減:管理策の導入(例:パッチ適用)
- リスク回避:リスクのある活動をやめる
- リスク移転:保険加入やアウトソーシング
- リスク受容:コストに見合わないリスクは許容する
認証取得のメリットと負荷
ISO 27001認証取得を検討する際の判断材料です。
メリット:
- 取引先・顧客からの信頼向上
- 入札・取引条件を満たせる
- 組織のセキュリティ意識・レベルの向上
- インシデント対応力の強化
負荷・コスト:
- 初期構築に6ヶ月〜1年程度の期間
- 審査費用:初回100〜300万円、年間維持費50〜150万円程度
- 文書管理や内部監査など継続的な運用負荷
- ひとり情シスの場合、他業務との両立が大きな課題
認証取得が必須でない場合は、ISO 27001の管理策を自社のセキュリティ対策のチェックリストとして活用するだけでも大きな価値があります。
✅ 完了済み