ISMSってどんな資格?ISMSのキホン
目次[非表示]
ISMS(アイエスエムエス)という言葉を1度は耳にしたことがある方も多いかと思います。
しかし、実際ISMSって何??と思っている方も多いのではないでしょか。
今回はそのISMSのキホンをご紹介させていただきます。
ISMSとは?
ISMSとは、情報セキュリティを管理する仕組みのことです。情報セキュリティマネジメントシステムを英語で書いた「Information Security Management System」の頭文字を使った略称です。
企業にとって大事な情報の、流出のリスクがなく、使いやすい状態で管理される仕組みのことを指します。
「情報が流出してしまうリスク」は非常にさまざまです。例えば、社員が帰宅途中PCを盗まれてしまうことや、WEBページの脆弱性を突いた攻撃をされて情報漏えいにつながることも考えられます。
このような事態を、高度なセキュリティ技術・スキルを持った人材に限定して頼るのではなく、 情報セキュリティ方針 や 情報セキュリティ目的 、マニュアル、教育などのさまざまな面から仕組みとして管理できる体制を築くための仕組みがISMSです。
情報セキュリティとは
情報セキュリティとは情報の安全を確保するためのリスクを把握し、適切に管理・運用するためのシステムのことで、情報セキュリティにおける以下、3つの構成要素を網羅し、運用していくための仕組みです。
1)機密性(Confidentiality)
情報に対して適切にアクセス権を設定し、権限を持たないアクセスの遮断を目指します。機密性を高めるためには、情報の暗号化、認証の強化などといった対策を講じることが必要です。
2)完全性(Integrity)
情報の改ざん、削除、破壊といった行為を防ぎ、情報が正確かつ完全な状態であることを目指します。完全性を目指すためには、正確なログの取得・記録、情報自体の適切かつ定期的なバックアップを行うことが有効です。
3)可用性(Availability)
必要に応じて、情報へ柔軟かつ確実にアクセスできる状態のことを言います。可用性を確保するためには、システムやサービスの停止を防ぐことが求められます。そのために、冗長化や負荷分散などをハードウェア、ソフトウェアの両面から対策を講じることが求められます。
これらの3つの要素は、それぞれの頭文字をとり、「情報セキュリティのCIA」と呼ばれます。ISMSは、この情報セキュリティのCIAを組織的に実現するための対策と言えます。
マネジメントシステムとは
SMSというものを理解するためには、マネジメントシステムについても理解を深める必要があります。
マネジメントシステムと聞くと難しいような気もしますが、簡単に言えば「組織が目的を達成するための仕組み」のことです。マネジメントシステムには、セキュリティ方針やルールマニュアル、計画書などの文章や、情報セキュリティ会議や情報セキュリティ教育、内部監査など、組織が目標を達成するためのモノや活動すべてが含まれています。
ISMS 認証取得とは?国際規格 (ISO/IEC 27001) ってなに?
ISMS認証取得とはISMSを構築し、審査機関の審査に合格すると『ISMS認証』を取得することができます。ISMS認証は、ISMSが問題なく運用できていることを証明するものです。
ただし、自社で決めたルールに則った ISMS を作るだけでは、ISMS 認証は取得できません。国際規格を満たしたISMSを作り、審査に合格する必要があります。
その国際規格が『 ISO/IEC 27001 』です。『 ISO/IEC 27001 』では、先ほど紹介した情報セキュリティの3つの要素(機密性・完全性・可用性)が管理され、利害関係者に信頼を与えるための枠組みが示されています。
当社では2014年にISMS認証を取得し、個人情報や機密情報は国際標準規格に基づき適切に管理、運営してきました。それによりキャンペーン運営代行事業で13年の実績の中で、情報漏洩などの事故はこれまで0件。
個人情報の取り扱いは紙からデータ全てに関して万全な体制を整えています。
情報セキュリティ体制
https://e-bunka.biz/company/infosecurity/
「個人情報の漏洩が不安」
「大切な情報を正しく扱ってほしい」
など個人情報に関して不安のお持ちの場合、是非一度お気軽に「キャンパケ」にお問い合わせください。
引き続き、「キャンパケ」をどうぞよろしくお願いいたします。
