[情報セキュリティマネジメント試験]ISMS[無料講座・例題付き!]
今回は情報セキュリティマネジメント試験で問われるISMSについて学習します。
ISMS
情報セキュリティを管理するためには、組織全体で一丸となって対策に取り組む必要があります。
攻撃手法が巧妙化している今日において、セキュリティ対策製品だけでは防ぎきれないケースも増えています。
組織の従業員による内部不正など意図的な場合だけでなく、うっかりミスなどの偶発的な原因によってセキュリティが脅かされる事例もあります。
この要因として、組織のメンバーが情報セキュリティに対して意識が低かったり、組織内での規定や業務のやり方、メンバーへの周知が不適切な場合などが考えられます。
その対策として各組織が個別で対策をするだけでは漏れや抜けの観点から対策が不十分になりがちです。
そこで、世界中の情報セキュリティ管理の関係者が国際的なルールや取り決めとして作り上げたものがISMS(Information Security Management System)です。
ISMSは、組織全体で情報セキュリティを守るために効果的かつ継続的な取り組みを実現する仕組みで、情報セキュリティマネジメントシステムと訳されます。
国際規格を手本としていて、
- 情報セキュリティポリシの制定
- 組織内への教育訓練
- セキュリティ評価・見直し
等を行っています。
ISMSについて定義している規格には、国際規格のISO/IEC27000や、それを日本国内に向けて和訳したJIS Q 27000シリーズがあります。
- ISO 9000・・・品質保証
- ISO 14000・・・環境保護
は一般的だけど、それと同格で認証されると国際基準に沿った組織運営をしているとアピールできるよ!
ISMSの概要
ISMSについて定義された規格には「こうあるべき」といった要求事項や手本が記載されています。
ISMSで規定されている規格は以下の通りです。
| 概要 | 内容 |
| 基本的な考え方 | PDCAサイクルを継続的に回す。 |
| 用語 | 規格で使う用語の説明。 |
| 定義 | 規格で使う定義の説明。 |
| 何に対し、どんな対策を打つか | セキュリティマネジメント。 |
| 社内規定 | 情報セキュリティポリシ・就業規則の策定。 |
| 組織 | 情報セキュリティ委員会の設置。 |
ISIMは文書としてまとめられており、数年に1度改訂されます。
ISMSの用語
ISMSに関する用語も2つ、確認しておきましょう。
- ISMS認証・・・ISMSを適切に導入している組織を第三者が認定すること
- ISMS適合性評価制度・・・ISMS認証を与えるための制度
ISMSのメリット
ISMSを組織が採用するメリットとしては以下のようなものが挙げられます。
- セキュリティインシデントが発生するリスクを低減させる
- 従業者の意識が向上する
- 外部からの信頼が得られる
これにより組織全体の安全性を向上させるだけでなく、信頼性を上げてビジネス拡大につなげるチャンスも生まれます。
ISMS・例題
実際に例題を解いて問題に慣れていきましょう。
問題
問1
組織の活動に関する記述a~dのうち,ISMSの特徴として,適切なものだけを全て挙げたものはどれか。(iPass H.27/春)
a.一過性の活動でなく改善と活動を継続する。
b.現場が主導するボトムアップ活動である。
c.導入及び活動は経営層を頂点とした組織的な取組みである。
d.目標と期限を定めて活動し,目標達成によって終了する。
ア a,b
イ a,c
ウ b,d
エ c,d
問2
ISMSに関する記述のうち,適切なものはどれか。(iPass H.27/秋)
ア ISMSのマネジメントサイクルは,セキュリティ事故が発生した時点で開始し,セキュリティ事故が収束した時点で終了する。
イ ISMSの構築,運用は,組織全体ではなく,必ず部門ごとに行う。
ウ ISMSを構築する組織は,保護すべき情報資産を特定し,リスク対策を決める。
エ 情報セキュリティ方針は,具体的なセキュリティ対策が記述されたものである。
解説(クリックで展開)
ISMS・まとめ
今回はISMSについて学習しました。
ISMSに関してもちょくちょく出題されるので、特徴や内容について押さえておきましょう。
次回は情報セキュリティ管理全般について学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
