ISMS（情報セキュリティマネジメントシステム）とは？簡単に解説

ISMS（情報セキュリティマネジメントシステム）とは

ISMSの概要を紹介します。

組織で情報セキュリティを管理していく仕組みのこと

ISMSとは「Information Security Management System」の略で、日本語では「情報セキュリティマネジメントシステム」となります。組織が持つ情報の外部流出を防ぐとともに、利用しやすい状態で情報を保護するための仕組みのことです。

社内の情報を守るためには、社員一人ひとりが心がけるだけではいけません。また、一部の専門家だけが理解している状態でも意味がありません。組織として情報を適切に管理できる体制を構築する必要があり、そのための仕組みがISMSなのです。

PMS・QMSとの違い：管理を行う対象

ISMSと混同されがちなものに、PMSとQMSがあります。PMSはPersonal information protection Management Systemの略で、個人情報保護マネジメントシステムのことです。また、QMSはQuality Management Sytemの略で、品質マネジメントシステムです。

PMSは個人情報保護法に基づく規格「JISQ15001」に則っています。ISMSの対象が企業全体または一部の組織で所有する情報全般であるのに対し、PMSの対象が企業全体で所有する個人情報である点が異なります。

「JISQ15001」によって正しくPMSを構築・運用するとプライバシーマークの使用が認められます。ただし、ISMSには国際規格があるのに対し、「JISQ15001」は国内でしか使われません。

一方、QMSは顧客に提供するサービスや製品の品質に関するマネジメントシステムです。ISMSと違い、管理対象は情報ではなく製品やサービスです。それらの品質を高め、顧客満足度を向上させるのが目的です。国際規格である「ISO 9001」を筆頭にいくつかの規格があります。

ISMSの国際規格「ISO/IEC 27001」「JIS Q 27001」とは

ISMSには「ISO/IEC 27001」「JIS Q 27001」という国際規格があります。これらについて詳しく見ていきましょう。

ISMSの要求事項を定めた規定のこと

「ISO/IEC 27001」と「JIS Q 27001」は表記が異なるだけで、どちらも同じものです。ISMSの要求事項を定めた規定のことを言います。

ここで言う要求事項とは、「ISMSを取得・運用するにはこの決まり事を守りなさい」と決められているルールのことです。ISMSに基づいてセキュリティ環境を構築する際には、この要求事項を守らなければなりません。

ちなみに、企業のHPなどで「ISO27001を取得しました」と書かれているのを見たことがある人も多いでしょう。これは、ISMSの要求事項を適切に満たしていることが、第三者機関の審査によって認められたという意味です。

情報セキュリティの３要素を定義している

ISMSでは、情報セキュリティの要素として以下の３つを定義しています。

機密性

その情報資産を利用してはいけない人が利用できない状態

完全性

情報資産が改ざんや削除をされない状態

可用性

情報資産を利用すべき人が速やかにそれを利用できる状態

上の２つについてはよく知られているとおりです。第三者による不正利用や、削除・改ざんを防ぐことがセキュリティにおいて重要な要素と言えます。

一方、注目すべきは３つめの可用性です。ただ単に情報が危険から守られているだけでなく、使うべき人がすぐに使える状態になって初めてセキュリティが充分と言えます。

ISMSを取得するメリット

ISMSの構築・運用にはどのようなメリットがあるのでしょうか。代表的なものをいくつか紹介します。

情報セキュリティ管理体制が整備

不正アクセスを始めとしたサイバー攻撃を受けるリスクが下がります。

内部統制

社内でセキュリティに関する意識を高めることで、従業員による情報漏洩など、企業に内在するセキュリティリスクが下がります。

職場環境の改善

情報を守るには情報を整理する必要があります。これに伴いオフィスが物理的に整理整頓され、職場環境が改善します。

業務効率化

情報セキュリティにおける可用性を確保することにより情報の利用が円滑化し、業務が効率化します。

問題発生時の原因究明と対策検討

情報を守るには業務に関するさまざまな記録をとる必要があります。これにより、何らかの問題が発生した際に原因を究明しやすくなり、対策へとつなげられます。

ISMSの取得・運用方法

先ほども少し触れましたが、ISMSの要求事項を適切に満たして第三者機関の審査を受けることで、ISMS認証を取得できます。自社が適切にセキュリティ対策を施していることを対外的に証明できるため、多くの企業が取得しています。

ISMSを取得するには、規格の内容をよく理解し、それに基づいてセキュリティ体制を構築しなくてはいけません。自社のみで対応するのが難しい場合は、外部のコンサルティングを利用するのも良いでしょう。費用はかかりますが、自社だけで対応する場合も膨大な負担が発生するため、結果としてコストが少なく済むこともあります。

また、ISMS取得後は運用を続ける必要があります。したがって、ISMS取得時にはその後運用することを考えて現実的な体制を構築しなければなりません。運用支援を手掛けているコンサルティング企業などが存在するため、相談してみるのも良いでしょう。

ISMSを構築して自社の情報を守ろう！

ISMSとは組織で情報セキュリティを管理するための仕組みです。情報セキュリティへの関心が高まりつつある現在、多くの企業が取得しています。自社の大切な情報を守れるとともに、そのことを対外的にアピールできるチャンスです。

ISMSを取得するには、要求事項を遵守して体制を構築し、第三者機関の審査を受ける必要があります。この機会に、本格的な体制構築を目指してはいかがでしょうか。