ISMS(情報セキュリティマネジメントシステム)とは?
はじめに
私はIT業界で働き始めて1年半経ちましたが、たびたび「ISMS認証」という言葉を耳にします。
セキュリティの認証であることくらいしか知らず、世間ではセキュリティへの関心も高まっているので、ISMS認証について詳しく調べてみました。
イメージしやすいように具体例を多くしているので、ご参考いただけると幸いです。
ISMS(情報セキュリティマネジメントシステム)とは
ISMSとは、自社における情報セキュリティのリスクを管理する仕組みのことです。
情報セキュリティの3つの要素である、「機密性」「完全性」「可用性」を維持し、絶えず改善を行います。
機密性
「機密性」とは、認可されていない者に対して情報を使用させない・開示しないことです。
ex) 従業員の個人情報が記載されているファイルは、人事など担当者以外の従業員が閲覧できないようにする
完全性
「完全性」とは、情報の正確さ、改ざんや削除をされていない状態のことです。
ex) 契約書を改ざんされないように読み取り専用にしたり、バージョニングして復元できるようにする
可用性
「可用性」とは、許可されたものが、必要なときに情報にアクセス・利用できる状態になっていることです。
ex) 常に情報にアクセスできるように、災害やセキュリティインシデントの対策として、定期的なバックアップやインフラを冗長化する
ISMS認証とは
上記の ISMS を構築し、第三者機関の審査によって情報セキュリティに関する要件を満たしていると判断されると、ISMS認証 を取得できます。
こちらのサイトで、ISMS認証取得している組織を検索できます。2024/7/11時点で7855社が取得しているようです。
検索してみると、名だたる大企業も取得していることがわかります。
国際規格 (ISO/IEC 27001)とは
ISMS認証を取得するには、情報性キュリティに関する国際規格である「ISO/IEC 27001」をクリアしなければなりません。
ISO/IEC 27001 では、ISMS の確立・実施・維持・継続的な改善を実現するために、おおまかに下記の要求事項を定めています。
- 組織の状況
- リーダーシップ
- 計画策定
- 支援
- 運用
- パフォーマンス評価
- 改善
ISMS認証を取得するまでの流れ
ISMS認証を取得するには、通常半年〜1年が必要とされています。
- ISMS の取得範囲を決める
- 情報セキュリティの方針を決める
- 認証機関を選ぶ
- ISMS文書の作成
- リスクアセスメントの実施
- 従業員への教育実施
- 内部監査の実施
- マネジメントレビューの実施
- ISMS審査機関による審査(第1段階・第2段階)
- ISMS認証の取得
1. ISMS の取得範囲を決める
ISMS認証は企業全体で取得することだけでなく、一部の部署だけの取得も可能です。
保護すべき情報資産を洗い出して、取得範囲を定めます。
ex) 開発部のみ、営業部のみ、会社全体など
2. 情報セキュリティの方針を決める
情報セキュリティの方針とは、企業や組織で行う情報セキュリティ対策の方針や行動指針です。
ISMS認証の要件を満たすように方針を定める必要があります。
ex) 情報の機密性、完全性、可用性を確保するための方針、従業員の行動規範など
3. 認証機関を選ぶ
認証機関は、ISMSの審査と認証を行う第三者機関です。
認証機関の選定にあたっては、認定範囲、費用、対応の迅速さ、実績などを考慮し、企業のニーズに合った機関を選びます。
ex) JQA(日本品質保証機構)、SGS(Société Générale de Surveillance)など
4. ISMS文書の作成
ISMS文書は、ISMSの構築・運用に関する方針、手順、規則などを記載したものです。
これには、情報セキュリティ方針、リスクアセスメント手順、インシデント対応手順、教育計画などが含まれます。
文書は企業全体に共有され、従業員が理解し実践できるようにします。
ex) 情報セキュリティ方針、リスク管理手順、データ保護手順、インシデント対応計画など
5. リスクアセスメントの実施
リスクアセスメントは、情報資産に対する脅威と脆弱性を特定し、リスクを評価するプロセスです。
評価結果に基づいて、リスク対策を決定し、実行します。
リスクアセスメントは定期的に見直し、最新の脅威に対応できるようにします。
ex) 重要なデータの流出リスク評価、サイバー攻撃に対する脆弱性評価など
6. 従業員への教育実施
情報セキュリティの意識向上と、ISMS の適切な運用を確保するために、従業員への教育・訓練を実施します。
教育内容には、ISMS の基本的な理解、リスクアセスメントの重要性、セキュリティポリシーの遵守方法などが含まれます。
ex) 新入社員向けの情報セキュリティ研修、定期的なセキュリティ意識向上セミナーなど
7. 内部監査の実施
内部監査は、ISMS の運用状況を確認し、適合性や効果を評価するために行います。
内部監査は、第三者機関による審査の前に行うことで、不適合箇所を事前に発見し、改善することができます。
内部監査の結果をもとに、必要な改善措置を講じます。
ex) 四半期ごとの内部監査、特定のプロジェクトに対する内部監査など
8. マネジメントレビューの実施
マネジメントレビューは、ISMSの効果を評価し、継続的改善を図るために経営層が実施する会議です。
内部監査の結果やリスクアセスメントの結果、セキュリティインシデントの報告などを元に、ISMSの適切性や効果性を評価し、改善点を見つけ出します。
ex) 年次マネジメントレビュー会議、半期ごとのセキュリティレビュー会議など
9. ISMS審査機関による審査(第1段階・第2段階)
ISMS審査機関に依頼し、ISMS認証の審査を受けます。
審査は第1段階審査と第2段階審査に分かれています。
第1段階審査
第2段階審査に向けて、ISMS の運用に必要な文書や記録類が整備されているかを確認します。
情報セキュリティの方針を決めているかなど文書のレビューや、主要担当者以外の従業員にもヒアリングが行われます。
第2段階審査
ISMS が審査基準である国際規格『 ISO/IEC 27001 』をクリアしており、組織の中で有効に機能している(情報セキュリティレベルの向上などに寄与している)かを評価します。
10. ISMS認証の取得
第2段階審査に合格すると、ISMS認証が付与されます。
ISMS認証取得の証書が約1〜2ヶ月で届くようです。
ISMS認証取得にかかる費用
ISMS認証取得にかかる金額は企業・組織の規模等によって異なりますが、一般的には50万〜100万円が相場とされているようです。
審査機関に支払う審査費用や登録費用、審査員の交通費・宿泊費等が必要となります。
審査機関によって費用が異なるので、相見積もりすることをおすすめします。
ISMS認証の有効期間
ISMS 認証の有効期間は、取得から3年間です。
1年ごとに実施される「維持審査」を受けなければ ISMS 認証を失効してしまうので、審査は実質毎年行われます。
また、ISMS 認証の取得を継続するためには3年に1度「更新審査」を受けることになります。
おわりに
ISMS とISMS認証の取得について紹介しました。
国際規格 (ISO/IEC 27001)に準じた情報セキュリティを証明できるので、有用性が高く、取得できれば信頼を獲得できると感じました。
割愛しましたが、ISMS を構築するためのツールも多数存在するので、活用すると効率的に進められそうです。
参考
Discussion