1.ISMSとは
まずは、ISMSを大枠で理解する。 ISMSとはInformation Security Management Systemの略である。
うん?、システム? ここで謎である。 何故システムなのか? 認証を取るためにはシステム開発するの?
ISO27001:2013(JIS Q 27001:2014)ではこう書かれている。
この企画は、情報セキュリティマネジメントシステムを確立し、実施し、維持し、継続的に改善する為の要求事項を提供するために作成された。
システム=仕組みと解釈すると、セキュリティを管理する仕組み(以下ISMS)をPDCAを実践するという事でしょうか。
確立 → 計画して仕組みを作りなさい
実施 → 運用しなさい
維持 → 仕組みが変わらない様に確認しなさい
継続 → 仕組みをメンテナンスしなさい
これらを実践するための要求事項をまとめたものが、ISO27001 であるという事ですね。
また、要求事項の概要には、「ISMSの採用は、組織の戦略的決定である」 とある。 これは、セキュリティ戦略として決定した事であるから、組織自らが作るものであり、作り方を示した指針ではない。
こんな質問を多々受けます。 「〇〇という問題があるのですが、ISMS的にはどうなんでしょうか?」
これは間違いです。 〇〇という問題を解決するための仕組みを作るのは組織であり、ISMSが具体的にこうすべきと言うことは示していません。
「組織自らがセキュリティに関する仕組みを作る」と言う事を大枠で理解しましょう。
では大筋でどんな仕組みを作るのか
ISMSは、リスクマネジメントプロセスを適用する事によって情報の機密性、完全性、可用性を維持し、かつ、リスクを適切に関しているという信頼を利害関係者に与える。
ISMSの仕組みを作るにはリスクマネジメントを理解する必要があります。 リスクマネジメントは、国際規格になっていて、ISO31000:2018 に規格が定義されています。 これに関しては別のコンテンツで紹介します。
ISO31000:2018を適用して、 機密性 秘密にしてね 完全性 壊れてないよね。中途半端じゃないよね 可用性 スグ使えるよね を維持する仕組みを作るという事です。
これらを明確にして詳細に落とし込み、利害関係者(ステークホルダー)に信頼してもらう仕組みです。 利害関係者は 顧客、株主、取引先、従業員 を差します。
ここまででも難しいですか? 何となく理解して、具体的な仕組みを作る際に分からなくなったら、必ずここに戻りましょう。 構築した仕組みはこれらに合致するのか、方向性はずれていないか、常に意識する必要があります。
2020.12.23
