IT技術にかかわる人間にとって、決して避けては通れないのがセキュリティの分野です。
今回は、ISMS(情報セキュリティマネジメントシステム)について簡単に勉強した内容をまとめていきます。
IPAの基本情報技術者試験や、情報処理安全確保支援士試験などでも必ず出題される内容ですね。
もくじ
ISMSとは
ISMS(情報セキュリティマネジメントシステム)とは何かまとめていきます。
ISMSとは、一言でいうと『企業が適切なセキュリティを確保するための、計画・資源配分・運用などの、総合したマネジメントのシステム』です。
情報セキュリティの3要素
IPAの各種試験でも頻出の『情報セキュリティの3要素』とは、以下の3つです。
・機密性
認可されていない個人・エンティティ・プロセスに対して、情報を使用させず、開示しない特性のこと。
簡潔に言うと、『予め定められた対象のみが特定のデータにアクセスできる』という性質のこと。
・完全性
データが最新かつ正しい状態で維持されていること。
完全性の維持のためには、WEBページの改ざんのような攻撃への対策だけでなく、誤った情報をHPに掲載してしまうなどの人為的なミスへの対策も必要です。
・可用性
情報が必要なときに使える状態であること。
バックアップの取得や冗長化によって端末の故障などの対策が必要です。
JIS Q 27001:2014
こちらもIPA試験頻出の用語です。
JIS Q 27001:2014は、『ISMSの要求事項を定めた規格』とされています。
ISMSの実施に関して、組織が取り組むべき事項についてまとめられています。
JIS Q 27001:2014の用途としては、大きく以下の2点が挙げられます。
・組織のマネジメント及び業務プロセスを取り巻くリスクの変化への対応
・情報セキュリティ要求事項を満たす組織の能力を内外で評価するための基準
また、JIS Q 27001:2014の特徴として、「あらゆる組織に適用できるよう配慮されている」点が挙げられます。
具体的には、「適用させる必要のある要求事項」と「事業の特性により適用除外が可能である要求事項」に区別されています。
適用させる必要のある要求事項とは
「適用させる必要のある要求事項」の具体的な内容は、下記のとおり明記されています。
『組織がこの規格への適合を宣言する場合には,箇条 4〜箇条 10 に規定するいかなる要求事項の除外も認められない。』
引用:JIS Q 27001:2014
それぞれの項目と概要は下記のとおりです。
4.組織
組織の目的や利害関係者も考慮した要求事項と適用範囲の検討
5.リーダーシップ
トップマネジメントがISMS に関するリーダーシップ及びコミットメントを実施する際に求められる観点
6.計画
望ましくない影響を防止又は低減し、継続的改善を達成するための計画
7.支援
ISMS の確立,実施,維持及び継続的改善に必要な資源を決定し,提供する義務
8.運用
情報セキュリティ要求事項を満たすために必要な計画し、実施、管理の義務
9.パフォーマンス評価
情報セキュリティパフォーマンス及び ISMS の有効性を評価する必要性
10.改善
トラブルが発生した場合の対処、分析、再発防止対策の義務
まとめ
今回はIPAの情報処理安全確保支援士合格のために、ISMSと、その要求事項をまとめた規格である JIS Q 27001:2014 について学習した内容を簡単にまとめました。
ISMSの要求事項は、現代のセキュリティレベルの担保のために必要な情報をほぼ網羅しています。
セキュリティは昨今より身近なものになってきていますので、仕事としてセキュリティに直接は関わらない人にとっても必要な知識かと思います。
僕ももっと勉強しないと…。