ISMSとは？ わかりやすく解説

デジタル大辞泉

アイ‐エス‐エム‐エス【ISMS】

読み方：あいえすえむえす

《Information Security Management System》企業・官公庁などが、情報の流出、紛失を防ぎ、適切に管理するために構築する、総括的な枠組み。日本情報処理開発協会が認定する。基準となる規格は「JIS Q 27001」。情報セキュリティーマネージメントシステム。

マネジメント用語集

ISO27001／ISMS

読み方：アイ・エス・オー27001、アイ・エス・エム・エス
別名：ISMS
【英】：ISO27001 ISMS

組織が保有する情報をCIA（＝機密性※1、完全性※2、可用性※3）の3つの観点から維持・向上を図り、継続的に見直すための体系的で総合的な仕組みと活動の要件を規定する国際規格。

組織のトップが情報セキュリティについて方針（方向性）を示し、規格が定める要求事項を満たすためにルールを定め、P・D・C・A（計画・実施・評価・改善）のサイクルを回してレベルアップを図るもの。

情報を対象としたリスクマネジメントを基本に、リスクの高いものに対して対策を計画的に進めるもので、ISO14001などの他のマネジメントシステムと基本的には変わらない。
特徴としては、情報セキュリティのベストプラクティスの要素をまとめた付属書（ 管理目的とその管理策）が規格に添付されており、規格の本文と同様に組織としての対応が求められている点が挙げられる。

※1．機密性（confidentiality）：　許可された人のみがその情報を閲覧・利用できること
※2．完全性（integrity）：　その情報が常に正しい状態であること
※3．可用性（availability）：　許可された人がその範囲内でいつでも情報にアクセスできること

情報セキュリティ用語集

ISMS【Information Security Management System】

情報セキュリティの管理体制のこと。

情報の機密性、完全性、可用性を維持するための、マネジメントシステム（計画→運用→見直し→是正）を指す。ISMS体制が整備されていることを認証する規格の一つに、経済産業省の外郭団体である日本情報処理開発協会（JIPDEC）の「ISMS適合性評価制度」がある。

JIPDECの定義では、「ISMSとは個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである」とされている。

IT用語辞典バイナリ

ISMS

フルスペル：Information Security Management System
読み方：アイエスエムエス
別名：情報セキュリティマネジメントシステム

ISMSとは、企業や自治体などの組織が情報セキュリティを管理・運用するための仕組みのことである。

ISMSでは、情報セキュリティを安全に保つための技術的な対策に加えて、人的な管理運用能力も含めた、組織全体の総合的なマネジメント能力が必要とされる。

ISMSは、英国規格協会（BSI）によって策定された国際的規格である「BS7799 Pat2」を原案として導入されたものである。（同規格はISO27001として国際標準化されており、日本でもJIS X 5080として規格化されている）。日本でもBS7799 Part 2に基づいた「ISMS適合性評価制度」が策定され、2002年より運用が開始されている。

---

参照リンク
ISMS International User Group

ウィキペディア

情報セキュリティマネジメントシステム

(ISMS から転送)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/04/16 14:40 UTC 版)

情報セキュリティマネジメントシステム（じょうほうセキュリティマネジメントシステム、ISMS: Information Security Management System）は、組織における情報資産のセキュリティを管理するための枠組み。情報セキュリティマネジメントとは、ISMSを策定し、実施すること。^[1]

脚注

1. ^ JIS Q 27000:2014 箇条 0.1。
2. ^ JIS Q 27002:2014 箇条 0.1。
3. ^ ISMSガイド13, p. 13。
4. ^ ^{a b c} ISMSガイド13, p. 3, 4, 10, 97。
5. ^ MSS。
6. ^ JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。
7. ^ ^{a b} JIS Q 27000:2014 箇条 2.68。
8. ^ 原田(2016) p. 3。
9. ^ JIS Q 0073:2010 箇条 3.5。
10. ^ ISMSガイド13, p. 51。
11. ^ JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。
12. ^ JIS Q 27005:2011、JIS Q 13335-1 箇条 3.3、ISMSガイド13, p. 35。
13. ^ JIS Q 27000:2014 箇条 2.89。
14. ^ ^{a b c d e f g h i j k l m n} JIS Q 27001:2014 箇条 6.1.2、6.1.3。
15. ^ ISMSガイド13, p. 30。
16. ^ ^{a b} JIS Q 27000:2014 箇条 2.79。
17. ^ JIS Q 27000:2014 箇条 2.35。
18. ^ JIS Q 27000:2014 箇条 2.36。
19. ^ JIS Q 27000:2014 箇条 2.37。
20. ^ JIS Q 27000:2014 箇条 2.34。
21. ^ ^{a b} JIS Q 27001:2014 箇条 5。
22. ^ JIS Q 27001:2014 箇条 6。
23. ^ JIS Q 27001:2014 箇条 7。
24. ^ JIS Q 27001:2014 箇条 8。
25. ^ JIS Q 27001:2014 箇条 9。
26. ^ JIS Q 27001:2014 箇条 10。
27. ^ ^{a b c} JIS Q 27000:2014 箇条 2.61、JIS Q 27001:2006 箇条 0.2、ISMSガイド06, p. 9、ISMSガイド13, p. 13。
28. ^ ISMSガイド06, p. 7。
29. ^ ^{a b} ISMSガイド13, p. 14。
30. ^ ^{a b} mss-faq 11. 「附属書 SL の構造において“プロセスモデル”又は“PDCA モデル”が使われていないのはなぜか」
31. ^ MSS SL.5.2 注記１「有効なマネジメントシステムは、通常、意図した成果を達成するために"Plan-Do-Check-Act"のアプローチを用いた組織のプロセス管理を基盤とする」
32. ^ JIS Q 27000:2014 箇条 2.84。
33. ^ ^{a b} JIS Q 27001:2014 箇条 5.1。
34. ^ JIS Q 27001:2014 箇条 5.3。
35. ^ ^{a b c} ISMSガイド13, pp. 43-44。
36. ^ JIS Q 27000:2014 箇条 4.1。
37. ^ JIS Q 27000:2014 箇条 4.2。
38. ^ ^{a b} JIS Q 27001:2014 箇条 4.2。
39. ^ JIS Q 27001:2014 箇条 5.1、JIS Q 27002:2014 箇条 5.1。
40. ^ ^{a b} JIS Q 27001:2014 箇条 5.2。
41. ^ ^{a b c d e} JIS Q 27002:2014 箇条 5.1。
42. ^ ISMSガイド13, p. 40。
43. ^ ^{a b c} JIS Q 27001:2014 箇条 6.2。
44. ^ ^{a b c d e f g h} 情報セキュリティマネジメントとPDCAサイクル「情報セキュリティポリシーの策定」 IPA。2016年8月3日閲覧
45. ^ ^{a b c d e f} 情報セキュリティポリシーサンプル改版（1.0版）概要(pdf)、pp. 5-6、JIPDEC。2016年8月3日閲覧。
46. ^ ISMSリスク編13, p. 4。
47. ^ JIS Q 27000:2014 箇条 2.76、JIS Q 31000:2010 箇条 2.2。
48. ^ ^{a b} JIS Q 31000:2010 箇条 2.3。
49. ^ リスクマネジメント規格 図1。
50. ^ JIS Q 31000:2010 箇条 5.3。
51. ^ JIS Q 31000:2010 箇条 2.25。
52. ^ ^{a b} JIS Q 31000:2010 箇条 2.28。
53. ^ JIS Q 31000:2010 箇条 2.14、2.15、2.24。JIS Q 27000:2014 箇条 2.71。
54. ^ JIS Q 27000:2014 箇条 2.75。
55. ^ JIS Q 27000:2014 箇条 2.70。
56. ^ JIS Q 27000:2014 箇条 2.73。
57. ^ JIS Q 27000:2014 箇条 2.74。
58. ^ ISMSリスク編13, pp. 23-24。
59. ^ ISMSリスク編13, p. 30。
60. ^ ISMSリスク編13 p. 31。
61. ^ ^{a b} JIS Q 27002:2014 箇条 8.1.1。
62. ^ ISMSリスク編13, p. 35。
63. ^ ISMSリスク編13, pp. 50-51。
64. ^ JIS Q 27000:2014 箇条 2.69。
65. ^ ISMSリスク編13 pp. 52-54。
66. ^ JIS Q 27000:2014 箇条 2.16。
67. ^ ^{a b} ISMSリスク編13, p. 57。
68. ^ ISMSガイド13, p. 23。
69. ^ ^{a b c d e} “情報セキュリティマネジメントとPDCAサイクル「リスクアセスメント」”. IPA. 2017年7月5日閲覧。
70. ^ ^{a b c d e f} ISMSリスク編13, p. 14。
71. ^ ^{a b c d} 瀬戸洋一. “プライバシー影響評価ガイドライン実践テキスト”. インプレスr&d. p. 14. 2017年7月5日閲覧。