情報セキュリティマネジメントシステム

ISMSとは

ISMSはInformation Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムです。組織が保有する情報資産を守るために、技術面の対策だけでなく、規程、手順、体制、教育などを決めて運用し、見直しまで行う管理の仕組みです。

情報セキュリティの3要素（CIA）

ISMSで維持する要素は、頭文字をとってCIAと呼ばれます。

情報資産

ISMSで管理の対象になり得るものの例です。

• 情報資産（データ、文書、記録など）

• 人（従業員、派遣、委託先要員など）

• 物（PC、サーバ、紙資料、入退室管理など）

• 手順（業務手順、申請手順、バックアップ手順など）

PDCAサイクルで継続的に改善する

ISMSは構築して終わりではなく、PDCAサイクルで継続的に改善します。

• Plan（計画）：情報セキュリティ方針を定め、リスクアセスメントを行い、対策計画を作ります。

• Do（実行）：計画した対策を導入し、手順どおりに運用します。

• Check（点検）：監査やモニタリングで、運用状況と対策の有効性を確認します。

• Act（処置）：点検結果に基づき、ルールや対策を修正し、再発防止を行います。

組織全体で取り組む

ISMSは情報システム部門だけの活動ではなく、経営層、管理者、一般社員まで含めた組織全体の活動として運用することが原則です。

理解のポイント

• ISMSは技術的対策だけでなく、組織的対策、人的対策、物理的対策も含む管理の仕組みです

• 機密性、完全性、可用性は頻出の基本要素として扱われます

• PDCAサイクルにより継続的に運用と改善を行う点が前提です

• 国際規格はISO/IEC 27001で、日本ではJIS Q 27001です

用語が使われる場面

• 取引先から情報セキュリティの管理状況を求められ、ISMS認証の有無が確認事項になる場合があります

• 官公庁や大企業の調達で、入札や契約の条件として認証が求められる場合があります

発展知識

関連用語