見出し画像

ISMSとは?概要をわかりやすく解説

ISOプロ/ISO・HACCPコンサルティング

ISMSとは、情報セキュリティマネジメントシステムの略称のことですが、「マネジメントシステム」というものについて聞き慣れない人にとっては、「情報セキュリティマネジメントシステムの略称」と説明されてもよく分からないと思います。今回やここ最近の天気で杞憂になっているやまぐち@ISOプロ編集部がISMS、情報セキュリティマネジメントシステムとはなにか?それを使うとどんないいことがあるのか?ということについてわかりやすく解説していきたいと思います。

ISMSとは、組織を指揮する仕組みである

ISMSとは、簡単に言ってしまえば、情報セキュリティというフィールドにおいて、組織を効率よく動かすための仕組みのようなものです。組織を効率よく動かし、そして組織の情報セキュリティ水準を高めていこうとするものが、ISMSなのです。

多くの人は、「組織の情報が外部に流出したり、破壊されたり、サイバー攻撃にあったりしないようにするためにはどうすればよいか?」という問に対して、「ファイアウォールを設置する」とか「二段階認証システムを導入する」という答えを思いつくことでしょう。――もちろん、こういったセキュリティを高めるためのツールは導入して然るべきですし、これは決して間違いではありません。しかし、「導入したほうが良いから」という理由で顧客の様々な要求に応えていては、採算が取れなくなったり、本来やるべきことが疎かになってしまったりする可能性もあります。

何が言いたいかと言うと、事業を持続的に継続していくためには、必要なセキュリティ対策の優先順位を決めたり、どのように対策をとるのか(あるいは、リスクを受容するのか)ということを合理的に決定したりする必要が出てきます。

こういった背景から生まれたのがISMSです。ISMSでは、組織は現在どのような課題を抱えており、どのようなセキュリティ水準を顧客から求められているかということを明確にし、組織が抱えるリスクを分析、目標を取り決め、その目標を達成するための計画を実行し、しっかりと実行されたかどうかのレビューを行い、次の計画に活かしていく…という一連の流れをシステマチックにできるように組織の仕組みを整理していくのです。

ISMSで重要なのは、PDCAサイクル

ISMSは組織によってどのようなものを構築するかは様々です。一概に「こういうISMSが望ましい」とは言えないからです。なぜなら、組織が提供する製品やサービスによって顧客から求められるセキュリティ水準も異なりますし、組織が置かれている状況も異なるからです。

ただ、どのようなISMSでも共通して言えることは、PDCAサイクルという概念が非常に重要な要素となっているということです。

そもそもPDCAサイクルとは、計画⇒実行⇒確認⇒改善の一連の流れを繰り返すことでモノゴトを改善しようというフレームワークのようなものです。ISMSでは、組織内にPDCAサイクルを構築して「継続的改善」ができる状態にすることが最重要項目となっています。

どういうことかというと、先程も解説したようにISMSは組織が情報セキュリティという分野において合理的判断を促すシステム(ツール)のようなものです。要するに、「今現時点でどれくらいのセキュリティ水準が保たれているか」ということは問題ではないのです。「マネジメントシステムを運用することで、セキュリティ水準を継続的改善ができるか」ということが最重要課題となるわけです。

画像1

ISMSを導入するとどのようなメリットがあるのか

さて、それではここまで解説してきたことのまとめのようになりますが、ISMSを活用するとどのようなメリットがあるのかということについてご紹介していきたいと思います。

・信頼感の醸成
ISMSを構築するにあたっては、PマークやISO27001のような認証取得を目指す場合がほとんどだと思います。こういったISMS認証を取得することで、「ちゃんと情報セキュリティに対して積極的に取り組んでいる組織なのだ」とアピールすることができるため、顧客や取引先の信頼感の醸成に繋がります。

・無駄の削減
繰り返しになりますが、ISMSは組織の合理的決断を促す仕組みです。つまり、情報セキュリティという分野において合理的決断を行うことができるようになりますから、「本来は必要なかったセキュリティ対策」というものを実施しなくて良くなるのです。――もちろん、最終的に決断を下すのはISMSではなく人間であるため、ミスは起こり得るかもしれませんが、少なくとも無駄の削減には繋がります。

・セキュリティ水準の強化
言うまでもないかもしれませんが、ISMSは情報セキュリティマネジメントシステムであり、組織が抱える脅威を分析したり、将来的にインシデントになりえるリスクまで予防したりします。これによって、セキュリティ水準を強化することが可能になります。

画像2


この記事が参加している募集

#とは

59,021件

この記事が気に入ったらサポートをしてみませんか?