連載
» 2004年01月01日 10時00分 UPDATE

セキュリティ用語事典:ISMS

Information Security Management System

[@IT]

 企業や組織が自身の情報セキュリティを確保・維持するために、ルール(セキュリティポリシー)に基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する枠組みのこと。ISMSに求められる範囲は、ISO/IEC15408などが定めるような技術的な情報セキュリティ対策のレベルではなく、組織全体に渡ってセキュリティ管理体制を構築・監査し、リスクマネジメントを実施することである。

 ISMSをその組織が保持しているかどうかを第三者が認定する制度として「ISMS適合性評価制度」と呼ばれる――「情報処理サービス業情報システム安全対策実施事業所認定制度」に代わる、情報処理サービス業事業者に対するISO/IEC17799:2000およびBS7799-2:1999に基づいた――評価認定制度がある。現在、日本情報処理開発協会(JIPDEC)を中心に2002年より正式運用されている。

 ISMSの定義としてJIPDECは、「ISMSとは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することである」、また、「組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである」と設定している。

 また、ここでいう機密性・完全性・可用性とは、以下のような内容である。

  • 機密性
    アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
  • 完全性
    情報および処理方法が正確であることおよび完全であることを保護すること。
  • 可用性
    認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。

 ISMSの認定取得を希望する事業者は、JIPDECの指定する審査登録機関に、認定取得に当たっての申請を行い、ISMSに基づく審査と監査を行う。審査機関からの結果報告を受けて、JIPDECが事業者を認定済み事業者としての登録を行う。

関連用語

BS7799
ISO/IEC 15408
Pマーク(プライバシーマーク)
セキュリティポリシー

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。