アイ‐エス‐エム‐エス【ISMS】
ISO27001/ISMS
別名:ISMS
【英】:ISO27001 ISMS
組織が保有する情報をCIA(=機密性※1、完全性※2、可用性※3)の3つの観点から維持・向上を図り、継続的に見直すための体系的で総合的な仕組みと活動の要件を規定する国際規格。
組織のトップが情報セキュリティについて方針(方向性)を示し、規格が定める要求事項を満たすためにルールを定め、P・D・C・A(計画・実施・評価・改善)のサイクルを回してレベルアップを図るもの。
情報を対象としたリスクマネジメントを基本に、リスクの高いものに対して対策を計画的に進めるもので、ISO14001などの他のマネジメントシステムと基本的には変わらない。
特徴としては、情報セキュリティのベストプラクティスの要素をまとめた付属書( 管理目的とその管理策)が規格に添付されており、規格の本文と同様に組織としての対応が求められている点が挙げられる。
※1.機密性(confidentiality): 許可された人のみがその情報を閲覧・利用できること
※2.完全性(integrity): その情報が常に正しい状態であること
※3.可用性(availability): 許可された人がその範囲内でいつでも情報にアクセスできること
ISMS【Information Security Management System】
ISMS
読み方:アイエスエムエス
別名:情報セキュリティマネジメントシステム
ISMSとは、企業や自治体などの組織が情報セキュリティを管理・運用するための仕組みのことである。
ISMSでは、情報セキュリティを安全に保つための技術的な対策に加えて、人的な管理運用能力も含めた、組織全体の総合的なマネジメント能力が必要とされる。
ISMSは、英国規格協会(BSI)によって策定された国際的規格である「BS7799 Pat2」を原案として導入されたものである。(同規格はISO27001として国際標準化されており、日本でもJIS X 5080として規格化されている)。日本でもBS7799 Part 2に基づいた「ISMS適合性評価制度」が策定され、2002年より運用が開始されている。
参照リンク
ISMS International User Group
セキュリティ対策: | ファジング IPS ISMS適合性評価制度 ISMS iCloudキーチェーン iLogScanner Kaspersky |
情報セキュリティマネジメントシステム
(ISMS から転送)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/04/16 14:40 UTC 版)
情報セキュリティマネジメントシステム(じょうほうセキュリティマネジメントシステム、ISMS: Information Security Management System)は、組織における情報資産のセキュリティを管理するための枠組み。情報セキュリティマネジメントとは、ISMSを策定し、実施すること。[1]
- ^ JIS Q 27000:2014 箇条 0.1。
- ^ JIS Q 27002:2014 箇条 0.1。
- ^ ISMSガイド13, p. 13。
- ^ a b c ISMSガイド13, p. 3, 4, 10, 97。
- ^ MSS。
- ^ JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。
- ^ a b JIS Q 27000:2014 箇条 2.68。
- ^ 原田(2016) p. 3。
- ^ JIS Q 0073:2010 箇条 3.5。
- ^ ISMSガイド13, p. 51。
- ^ JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。
- ^ JIS Q 27005:2011、JIS Q 13335-1 箇条 3.3、ISMSガイド13, p. 35。
- ^ JIS Q 27000:2014 箇条 2.89。
- ^ a b c d e f g h i j k l m n JIS Q 27001:2014 箇条 6.1.2、6.1.3。
- ^ ISMSガイド13, p. 30。
- ^ a b JIS Q 27000:2014 箇条 2.79。
- ^ JIS Q 27000:2014 箇条 2.35。
- ^ JIS Q 27000:2014 箇条 2.36。
- ^ JIS Q 27000:2014 箇条 2.37。
- ^ JIS Q 27000:2014 箇条 2.34。
- ^ a b JIS Q 27001:2014 箇条 5。
- ^ JIS Q 27001:2014 箇条 6。
- ^ JIS Q 27001:2014 箇条 7。
- ^ JIS Q 27001:2014 箇条 8。
- ^ JIS Q 27001:2014 箇条 9。
- ^ JIS Q 27001:2014 箇条 10。
- ^ a b c JIS Q 27000:2014 箇条 2.61、JIS Q 27001:2006 箇条 0.2、ISMSガイド06, p. 9、ISMSガイド13, p. 13。
- ^ ISMSガイド06, p. 7。
- ^ a b ISMSガイド13, p. 14。
- ^ a b mss-faq 11. 「附属書 SL の構造において“プロセスモデル”又は“PDCA モデル”が使われていないのはなぜか」
- ^ MSS SL.5.2 注記1「有効なマネジメントシステムは、通常、意図した成果を達成するために"Plan-Do-Check-Act"のアプローチを用いた組織のプロセス管理を基盤とする」
- ^ JIS Q 27000:2014 箇条 2.84。
- ^ a b JIS Q 27001:2014 箇条 5.1。
- ^ JIS Q 27001:2014 箇条 5.3。
- ^ a b c ISMSガイド13, pp. 43-44。
- ^ JIS Q 27000:2014 箇条 4.1。
- ^ JIS Q 27000:2014 箇条 4.2。
- ^ a b JIS Q 27001:2014 箇条 4.2。
- ^ JIS Q 27001:2014 箇条 5.1、JIS Q 27002:2014 箇条 5.1。
- ^ a b JIS Q 27001:2014 箇条 5.2。
- ^ a b c d e JIS Q 27002:2014 箇条 5.1。
- ^ ISMSガイド13, p. 40。
- ^ a b c JIS Q 27001:2014 箇条 6.2。
- ^ a b c d e f g h 情報セキュリティマネジメントとPDCAサイクル「情報セキュリティポリシーの策定」 IPA。2016年8月3日閲覧
- ^ a b c d e f 情報セキュリティポリシーサンプル改版(1.0版)概要(pdf)、pp. 5-6、JIPDEC。2016年8月3日閲覧。
- ^ ISMSリスク編13, p. 4。
- ^ JIS Q 27000:2014 箇条 2.76、JIS Q 31000:2010 箇条 2.2。
- ^ a b JIS Q 31000:2010 箇条 2.3。
- ^ リスクマネジメント規格 図1。
- ^ JIS Q 31000:2010 箇条 5.3。
- ^ JIS Q 31000:2010 箇条 2.25。
- ^ a b JIS Q 31000:2010 箇条 2.28。
- ^ JIS Q 31000:2010 箇条 2.14、2.15、2.24。JIS Q 27000:2014 箇条 2.71。
- ^ JIS Q 27000:2014 箇条 2.75。
- ^ JIS Q 27000:2014 箇条 2.70。
- ^ JIS Q 27000:2014 箇条 2.73。
- ^ JIS Q 27000:2014 箇条 2.74。
- ^ ISMSリスク編13, pp. 23-24。
- ^ ISMSリスク編13, p. 30。
- ^ ISMSリスク編13 p. 31。
- ^ a b JIS Q 27002:2014 箇条 8.1.1。
- ^ ISMSリスク編13, p. 35。
- ^ ISMSリスク編13, pp. 50-51。
- ^ JIS Q 27000:2014 箇条 2.69。
- ^ ISMSリスク編13 pp. 52-54。
- ^ JIS Q 27000:2014 箇条 2.16。
- ^ a b ISMSリスク編13, p. 57。
- ^ ISMSガイド13, p. 23。
- ^ a b c d e “情報セキュリティマネジメントとPDCAサイクル「リスクアセスメント」”. IPA. 2017年7月5日閲覧。
- ^ a b c d e f ISMSリスク編13, p. 14。
- ^ a b c d 瀬戸洋一. “プライバシー影響評価ガイドライン実践テキスト”. インプレスr&d. p. 14. 2017年7月5日閲覧。
- 1 情報セキュリティマネジメントシステムとは
- 2 情報セキュリティマネジメントシステムの概要
- 3 実施事項、組織体制、方針
- 4 リスクマネジメント
- 5 標準化の流れ
- 6 過去の経緯
- ISMSのページへのリンク