|
情報セキュリティマネジメントシステム(じょうほうセキュリティマネジメントシステム、ISMS: Information Security Management System)は、組織(企業、部、課など)における情報セキュリティを管理するための仕組み。情報セキュリティ管理システムともいう。組織の情報資産について、機密性、完全性、可用性をバランスよく維持し改善することが、情報セキュリティマネジメントシステムの基本コンセプトである〔JIS Q 13335-1(情報通信技術セキュリティのマネジメント ― 第1部:情報通信技術のセキュリティマネジメントのための概念及びモデル)。ISO/IEC 13335-1 と同等。〕。 ISMSの構築のしかたと認定の基準は、ISO/IEC JTC 1 の SC27 (セキュリティ技術副委員会)で審議して国際規格 ISO/IEC 27001になり、その翻訳が日本工業規格 (JIS) になっている。 JIS Q 27001 (ISO/IEC 27001 と同等)では、組織において ISMS を確立し、実施し、維持し、継続的に改善するための要求事項を規定している。 第一者による自己診断、第二者の取引先による認定、第三者の外部の審査のいずれかで、組織の ISMS が要求事項を満足しているとき、この規格への適合を宣言することができる。 == マネジメント == 各組織の情報資産のリスク(紛失、漏洩、改ざんなど)は様々であり、対策も様々である。各組織のISMSでは、(個々のリスクごとの技術的な対策を定めるだけではなく、)組織自体によるリスク評価に基づいて必要なセキュリティレベルを決め、プランをもち、資源を配分して、システムを運用することを定める。 通常のISMSでは、情報セキュリティ基本方針を基にして、次のPDCAサイクルを繰り返す。 * Plan: 情報セキュリティ対策の具体的計画・目標を策定する。 * Do: 計画に基づいて対策の導入・運用を行う。 * Check: 実施した結果の監視・見直しを行う。 * Act: 経営陣による改善・処置を行う。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「情報セキュリティマネジメントシステム」の詳細全文を読む 英語版ウィキペディアに対照対訳語「 Information security management system 」があります。 スポンサード リンク
|