ISMS適用と重要性を理解し、企業の情報資産を守る

ISMS（情報セキュリティマネジメントシステム）は、情報資産をいかにして守るべきかのガイドラインとなります。
企業は様々な情報資産を保有しており、情報漏洩は経済面と社会的信頼面において大きな損害となり得ます。

ISMSの目的とは

情報セキュリティは機密性・完全性・可用性からなるとされています。
・機密性（Confidentiality）
情報へのアクセス許可のある人だけが情報を利用することができ、許可のない人は情報の使用、閲覧ができないようにすることです。
ID、パスワードでの管理が一般的です。
・完全性（Integrity）
情報資産が正確で、かつ、改ざんされていない状態にあることです。
電子署名の利用が推奨されています。
・可用性（Availability）
情報へのアクセス権限を有する人が必要なときに情報を利用できる状態にあることです。
回線の二重化やバックアップシステムなどは可用性を担保すると言われています。
ISMSは情報の機密性・完全性・可用性を維持しつつ、情報資産に対するリスクマネジメントプロセスを適正に運用するためのガイドラインを示し、企業が情報資産に対するリスクに備えていることを広く社会一般に知らしめることを目的としています。

自社分析によるマネジメント

自社が保有している情報資産にはどのようのものがあり、それらに利害関係を持つ者が、あなたの企業に対してどの程度のセキュリティ対策を「期待」しているかを見極めます。
そのためには、自社を取り巻く環境を的確に分析し、その「期待値」を目安に、リスクマネジメントを行う必要があります。

企業のレベルに合ったセキュリティを明確にする

情報セキュリティにおいては、リスクに対する体制を確立し、実行し、維持・改善することが求められています。
つまり、単に情報セキュリティシステムを導入するだけでは足りず、そのレベルを維持したり、必要に応じて改善したりすることもその目的に含まれます。

情報セキュリティ計画のリスクと機会

情報資産におけるリスクには、例えば、短期的にはリスクでも長期的には会社に利益をもたらす可能性があるという概念は存在しません。
リスクはリスクであり、一度それが顕在化すると即座に損害につながるという認識が必要です。
また、機会というと良い意味で捉えられることが多いですが、情報セキュリティ計画における機会とはリスクを適正に管理しないと必然的にたどり着いてしまう事態のことを指します。
つまり、「リスクと機会」とは、適正にリスクを管理しないと、リスクが顕在化し、必然的に損害という事態に直結しますということを意味します。

情報セキュリティにおけるリスク所有者

リスク所有者とは、リスクが顕在化したときに責任を取る人のことです。
情報資産の種類によってその管理者は異なるので、必然的にリスク所有者も一人とは限りません。
JISQ27001では、「多くの場合、リスク所有者は情報資産の管理者と同一である」と明記されていますが、実務において情報資産を実際に管理する人は一般の従業員である場合もあります。

資産情報管理のための項目一覧

ISMSでは、リスクに対応するための管理策をまとめた「適用宣言書」の作成が要求されています。
管理策の基準としては以下のものがあります。

こうした管理策を構築するだけでなく、維持・改善していくことも重要です。

このようにISMSでは企業に情報資産に対する基本姿勢・具体的な施策・運用上必要な維持、管理といったPDCAサイクルに則ったマネジメントを求めています。
今一度、専門家の意見を取り入れながら、企業の実情にあった情報セキュリティに対する体制の強化を検討することも有効です。