 : |
個人情報保護法と同じくISMSという言葉をよく聞きますがISMSとはどのようなことをいうのでしょうか? |
 |
 : |
ISMSは、Information Security Management Systemの略で「情報セキュリティマネジメントシステム」と訳されています。
|
最近は、パソコンが単体で動いていることは少なくLANやインターネットに常時接続されている状態になっています。このような中で「パソコンがウィルスにやられた!」「情報が漏洩している!」など良く聞くようになりました。皆さんも身に覚えが多少はあるのではないかと思います。
会社の中には取引先情報、個人情報、書類、連絡事項など様々な情報が溢れています。これらの情報をコンピュータで管理しておくと場所も殆ど取る必要もなく、また素早く検索して出すことができ非常に便利になっています。しかし同時に、これらの情報を盗むことも容易になっています。最近普及しているUSB接続のメモリーなどは鉛筆ほどの装置に大量の情報を記録できます。何万人の個人情報など物の数秒で記録できてしまいます。
これら情報資産(知識資産)をいかに守るかが「リスク・マネジメント」(危機管理)で、その中の重要なテーマがISMSなのです。
ISMSとは、
(1) 会社にとって大切な『情報資産』を事前に設備を整え
(2) 管理のためのルールを会社の仕組みとして決め
(3) 情報資産を守るために自分がすべきことは何かを考え
(4) 情報資産を脅威から守っていく
マネジメントの仕組みのことです。
ISMSの主要なコンセプトは、
組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することです。
(1) 機密性:アクセスを認可された者だけが、情報にアクセスできることを確実にすること。
(2) 完全性:情報および処理方法が正確であること及び完全であることを保護すること。
(3) 可用性:認可された利用者が、必要なときに、情報及び関連する資産にアクセスできる
ことを確実にすること。
ISMSのポイントとしては、
作成したポリシー(方針)を基にPDCAサイクルを基礎としたマネジメントを実施します。
(1) Plan :情報セキュリティ対策の具体的計画、方針を策定する。
(2) Do :計画に基づいて対策の実施・運用を行う。
(3) Check :実施した結果の監査を行う。
(4) Action:経営陣による見直しを行い、改善する。
このサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図ります。
ISMSの導入を直ぐ実施するとはいかないまでも、自社の情報資産とは何か一度整理しては如何でしょうか。 |
