情報セキュリティマネジメントシステム(ISMS)

昨今、インターネットが主流になってから飛躍的に情勢は変わっており、便利な世の中になっている中、サイバー攻撃等の脅威に対しても対策を取る必要があります。
セキュリティ関連の情報を発信し、知識を得ることで今後のセキュリティに対しての意識向上に貢献できればと思います。

情報セキュリティマネジメントシステム(Information Security Management System:略称ISMS)とは、
組織(企業)が持っている情報資産のセキュリティ管理を行う為の枠組みとなります。
これはISO/IEC 27001というISO(国際標準化機構)が制定した国際規格になります。
情報の「機密性」「完全性」「可用性」の3つを管理して有効活用させます。
この3つの項目についてどの様な内容か確認しましょう。

機密性とは

組織が持っている情報・資産に関して、誰もがアクセス出来る訳ではなく、正当な管理者のみアクセスする権限が得られていること。
例えば、顧客情報や契約情報が書類であった場合、鍵付きロッカーに保管や、権限のある者しか入れないように部屋をロックさせている等が挙げられます。
もし第三者が組織・企業の秘密としている部分にアクセス出来てしまっては信用を失ってしまいます。

完全性とは

組織が持っている情報・資産に関して、改ざんや破壊されたりしないようにすること。
例えば、顧客情報を管理していた場合、利用者の適切な選定、情報に対して改変が無いかログ管理する等が挙げられます。
第三者がサイバー攻撃を行い、顧客情報が削除されてしまったり、
情報が書き換えられてしまったりすると組織・企業としての信用は失ってしまいます。

可用性とは

組織内でアクセス可能な情報に対して、いつでも安全に利用できること。
例えば、情報資産を管理しているサーバ機を二重化させたり、予備機を用意すること。
またデータのバックアップを取得しておくことが挙げられます。
発生しないことが望まれますが、システムダウンが発生することは考えらます。
その時、如何に早く復旧できるかどうか。いつまで経っても復旧できない状況では信用を失ってしまいます。

組織はISMSを策定し、実施することで情報資産に潜むリスクを管理して社会の信頼を得ることが出来ると言えるでしょう。
これら3つの要素を上手く取り組んで、運用していくことが望まれます。