ISMS認証とは何か■第1回■
プライバシーマークとよく似た第三者認証制度にISMS(Information Security Management System)適合性評価制度がある。プライバシーマーク制度と同様、事業者のセキュリティに対する取り組みを第三者が評価する一種の格付けである。しかし個人情報保護法の施行で注目が
特集
特集
●ISMSのポイント
ISMSで守るべきは情報資産で、これは電子媒体、紙媒体を問わない。情報資産を守るため、機密性、完全性、可用性の3つをバランスよく維持・改善していくことがISMSの本質である。
ここでいう機密性、完全性、可用性とは
・「機密性」アクセスを認可された者だけが情報にアクセスできることを確実にすること
・「完全性」情報及び処理方法が、正確であること及び完全であることを保護すること
・「可用性」認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること
と定義されている。
ISMSでは企業自らがリスクアセスメントを行い、必要なセキュリティレベルを決める。セキュリティレベルを決め、定めた情報セキュリティポリシー(基本方針)を基にPDCAサイクルがまわるマネジメントシステムを組織に構築していく。目標をたてプランを作り、資源配分を行い運用していく。運用した結果をモニタリングし、経営陣によって見直しを行う。このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図ることがポイントである。
●ISMS認証取得するメリット
ISMSとプライバシーマークはどちらもPDCAサイクルが継続的に回るマネジメントシステムが構築されているかどうかを第三者認証している。プライバシーマークの場合は個人情報という情報資産の一つを守るためのものであるが、ISMSは組織内の保護すべき情報資産と守る対象が幅広くなる。
ISMSでいう保護すべき情報資産とはサーバーなどの「物理資産」だけでなく、ユーザマニュアルやデータファイルなどの「情報」、アプリケーションソフトや開発ツールなどの「ソフトウェア」、計算処理サービスなどの「サービス」、情報サービスの加入者など「人」となっている。個人情報も情報資産の一つである。
プライバシーマークの認証取得は事業者(法人)単位であるが、ISMSでは対象とする範囲が幅広くなるため、組織の必要に応じて適用範囲を決めることができるようになっている。具体的には事業部・部・課単位、プロジェクト単位等でISMSの認証取得ができる。
個人情報を守るという部分ではプライバシーマーク制度もISMSも同じであるが、ISMSの場合は総合的マネジメントの視点から自社を守るためのマネジメントフレームワークを構築できる点にメリットがある。特にリスクアセスメントを行うことにより、守るべき資産が何であるのかが明確にするだけもでもメリットがある。
ISMSを取得するにはコストも手間もかかるため、対外的には情報セキュリティがしっかりした企業だとお墨付きを得ることができる。また入札条件や電子商取引の参加条件にISMS認証取得を条件にしている場合があり、この場合は必須である。
例えば経済産業省が特定システムオペレーション企業というのを認定してい
るが、これはシステムオペレーションサービスを的確に遂行できる企業というお墨付きで、経済産業省が安全対策、経理的基礎、技術的能力の実績を備えている企業を有効期間3年で認定する制度である。特定システムオペレーション企業の申請をする場合、ISMSの認証取得が必要条件になっている。また官公庁などで調査した個人票を入力するような業務を委託する場合、業者はプライバシーマークかISMSの認証取得が必須になりつつある。
【水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド 水谷哲也】
http://allabout.co.jp/career/corporateit/
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》
