情報セキュリティマネジメントシステムの要求事項について詳細に解説

この記事は約5分で読めます。

今日、情報セキュリティに関係のない企業はないと言っても過言ではありません。
あらゆる企業であらゆる個人情報・機密情報がオンライン/オフライン問わず取り扱われ、それを悪意ある第三者や内部不正・ヒューマンエラーから保護する必要が生じています。

そこで、自社の重要な情報をしっかり適切かつ効率的に保護する手段として、情報セキュリティマネジメントシステム(ISMS)をご紹介します。

ISMS認証の取得をお考えの方は、ISMS認証取得までに必要な対応がわかるToDoリストを無料で配布していますので、まずはご覧ください。

認証取得するぞ!でも、何から始めれば...?ISMS認証取得ToDoリスト 無料ダウンロードはこちら

情報セキュリティマネジメントシステムについておさらい

まず、情報セキュリティマネジメントシステムISMSについておさらいしておきましょう。

情報セキュリティマネジメントシステムとは、情報セキュリティのリスクを管理する仕組みを表す言葉です。

情報セキュリティの主な3要素である

  • 機密性
  • 完全性
  • 可用性

を維持することを目的とした規格です。

詳細は、「ISMSとは?Pマークとの違いや取得までの流れ・期間・費用を解説!」で解説していますので、読んでおきましょう。

情報セキュリティマネジメントシステムの要求事項とは

情報セキュリティマネジメントシステムの要求事項とは、情報セキュリティマネジメントシステム(ISMS)の確保のために企業・組織が実施するべき要件のことで、ISO27001という国際規格で定められています

これを適切に実施し、認証機関の審査をクリアすることで、ISMS認証を取得することができます。

情報セキュリティマネジメントシステムの要求事項で求められている内容

ISO/IEC 27001で定められた、要求事項を遵守することで、強固な情報セキュリティ体制を作ることができます。

要求事項で求められる内容は以下のものです。

4. 組織の状況

  • 4.1 組織及び状況の理解
  • 4.2 利害関係者のニーズ及び期待の理解
  • 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
  • 4.4 情報セキュリティマネジメントシステム

5. リーダーシップ

  • 5.1 リーダーシップ及びコミットメント
  • 5.2 方針
  • 5.3 組織の役割,責任及び権限

6. 計画

  • 6.1 リスク及び機会に対処する活動
  • 6.2 情報セキュリティ目的及びそれを達成するための計画策定

7. 支援

  • 7.1 資源
  • 7.2 力量
  • 7.3 認識
  • 7.4 コミュニケーション
  • 7.5 文書化した情報

8. 運用

  • 8.1 運用の計画及び管理
  • 8.2 情報セキュリティリスクアセスメント
  • 8.3 情報セキュリティリスク対応

9. パフォーマンス評価

  • 9.1 監視,測定,分析及び評価
  • 9.2 内部監査
  • 9.3 マネジメントレビュー

10. 改善

  • 10.1 不適合及び是正処置
  • 10.2 継続的改善

社内にある情報資産の情報セキュリティリスクを明らかにしたうえで、どのように「機密性」「完全性」「可用性」の3要素を高めていくのかを定めます。

方針や計画が決まったら、実際に運用して社内に管理体制を落とし込みます。その後、どのように評価するかも決める必要があります。

情報セキュリティマネジメントシステムとISO/IEC27001の違い

情報セキュリティを学ぶうえで、多くの人が考えるのが「情報セキュリティマネジメントISMS」と「ISO/IEC 27001」は何がどう違うのかということです。

情報セキュリティマネジメントISMSは仕組みであり、ISO/IEC 27001はその仕組みをどのようにして構築して運用するかを規格として定めたものです。

より、ISO27001について詳しく知りたいという方は、「​​ISO/IEC 27001とは?ISMSとの違いや概要、IECの組織構成について解説」で解説していますので、合わせてごらんください。

情報セキュリティマネジメントシステムとJIS Q 27001の違い

では、「情報セキュリティマネジメントシステムISMS」と「JIS Q 27001」の違いはなんでしょうか。

実は、こちらも先ほどのお話と同様です。

というのも、一見、JIS Q 27001とISO/IEC 27001で基準が2つあるように見えますが、ISO/IEC 27001」は、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で作成した「国際規格であり、その規格を日本語に訳したものが「JIS Q 27001です。

そのため、書いてある言語の差でしかありません。

まとめ

情報セキュリティマネジメントシステムの要求事項について解説しました。

貴組織での情報セキュリティ対策の参考にしていただければ幸いです。

現在これといった情報セキュリティ対策を実施していないのであれば、まずはこの記事を参考に、ISMS認証取得に向けて活動を開始することを強くおすすめします。

LRM株式会社では、ISMS認証取得コンサルティングを行っています。年間580社・18年の支援実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数

ISMS認証取得をご検討されている方や、社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。

専属コンサルチームが徹底サポート 
はじめてのISMS取得を確実に対応したいなら LRMのコンサルサービスを見る
ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました