2-1-3 情報セキュリティマネジメントシステム

■適用範囲
情報セキュリティマネジメントシステムを構築する時に最初に行うことは、組織の情報を理解し、ISMSの適用範囲を定義すること

■リーダシップ
ISMSに関しては、トップマネジメントのリーダシップが必須。トップマネジメントとは、経営陣。リーダーシップとは、組織の状況などに向かって集団活動を導いていくくと。

■適用宣言書
情報セキュリティリスク対応において作成される文書に適用宣言書がある。適用宣言書には、必要な管理策及びそれらの管理策を含めた理由と、それらの管理策を実施しているか否かが記述される。

■計画
ISMSの計画を策定する際には、情報セキュリティ目的を策定し、対処すべきリスクを決定する必要がある。情報セキュリティ目的では、実施事項、必要な資源、責任者、達成期限、及び結果の評価方法を決定する必要がある。

■組織人がもつべき認識
JIS Q 27001組織の管理下で働く人々は、次の三つの事項に対して認識を持たなければならない
1.情報セキュリティ方針
2.情報セキュリティパフォーマンスの向上によって得られる便益を含む、ISMSの有効性に対する自らの貢献
3.ISMS要求事項に適合しないことの意味

■運用
情報セキュリティを確保するためには、計画したことを継続して実施し、管理していかなければならない。そのために適切な運用が、不可欠

■パフォーマンス評価
ISMSの実施においては、それが有効かどうかを評価する必要がある。具体的には、内部監査を、行いISMSが有効に実施され、維持されているかを確認する。またトップマネジメントは、マネジメントレビューを行いISMSが、適切で有効であるかを定期的に確認する必要がある。

■改善
パフォーマンス評価の結果、不敵合が発生した場合には、それを改善する必要がある。
不敵合の原因を除去し、再発を防止するための是正処置を実行し、その有効性をレビューする
また、継続的に改善していく必要がある。

■管理目的及び管理策
JISQ27001では、附属書Aとして管理目的及び管理策のリストが示されている。
情報セキュリティのための方針や組織、人的資源のセキュリティ、アクセス制御や暗号、物理的及び環境的セキュリティなどについてその目的や管理策がらまとめられている。

■ISMS適合性評価制度
ISMS適合性評価制度とは、企業のISMSが国際規格(JIS Q 27001)に準拠していることを評価して設定する。
日本情報経済社会推進協会の評価制度です。

1.認証機関　ISMSに適合しているか審査して登録する
2.要員認証機関　ISMS審査員の資格を付与する
3.認定機関　上記の2機関がその業務を行う能力を備えているかをみる

■ISMS認証
ISMS適合性評価制度の認証機関に申請し、審査の結果、認証されるとISMS認証を取得できる。ISMS認証を取得すると、対外的に情報セキュリティの信頼性を証明でき、信頼性の向上につながる。官公庁の入札や電子商取引などの参加条件として提示されることもある。

■ISO/IEC 27000シリーズ
ISOてIECが共同で策定する情報セキュリティ規格群。日本では同じ番号でJISQ27000シリーズとして規格化されている。
27000シリーズでは、ISMSにおける情報セキュリティの管理•リスク•制御に対するベストプラクティスが示されている。

■ISMSユーザーズガイド
ISMS適合性評価制度を実施しているJIPDECが提供するISMS認証に関するガイド類の一つ。