ISMSとは、情報セキュリティを管理する仕組みのことです
情報セキュリティーは単に、情報を盗まれないようにするだけではなく改ざんされたり削除されないこと
仕様書や開発用の機械を使いたい時に使えるようにしておくことも含まれます
それぞれこのように分けることができます
- 機密性:情報が漏洩しないようにすること
- 完全性:削除されない、改ざんされないこと
- 可用性:仕様書・開発用のパソコンなどシステムを作るために必要なものを使いたい時使える状態に保つこと
この3つのうちどれがかけてもダメです
これら守らなければいけないものをバランスよく維持・改善し管理していくためには仕組みを確立する必要があります
ISMSには国際規格がある
取引先など、「しっかり管理してます!」と口では言っていても本当に大丈夫かってわからないですよね?
そのためしっかりしてますの裏付けを取るために、情報セキュリティーの分野に関しても国際規格があります
ちなみに国際規格の表示方法は色々ありますが、以下の表記は同じISMSとってますという意味になります
- ISMS
- ISO/IEC 27001:2013
- JIS Q 27001:2014
要求事項って
規格なので、それを満たすためのルール(要求事項)が当然あります
結構厳しくて114の項目があり、全てを確実に実施することが求められます
特に重視される部分
セキュリティー分野に関してしっかりPDCAサイクルを回して、常に改善し続けているかという点は非常に重要です
ITのセキュリティーに関しては、日々状況が変化しているので継続的に改善が行われている状態を作らなければならないんですね