ISMS 【Information Security Management System】 情報セキュリティマネジメントシステム
概要
ISMS(Information Security Management System)とは、組織内での情報の取り扱いについて、機密性、完全性、可用性を一定の水準で確保するための仕組み。特に、ISO/IEC 27001などの標準規格に基づいて整備された組織的なセキュリティ管理体制。組織の管理の一環として、取り扱う情報の種類などから確保すべきセキュリティの水準を定め、計画や規約を整備して情報システムの運用などに反映させる取り組みの総体を指す。具体的には、国際規格であるISO/IEC 27001および同等の国内規格JIS Q 27001に定められた要求事項を満たし、体制を整備して継続的に実施することが求められる。
組織がどのような情報をどのように取り扱うかを特定し、情報の適切な保護・管理についての基本方針や対策基準(情報セキュリティポリシー)、実施手順などを定め、担当部門だけでなく全社的な取り組みとして周知・実施を図る。
また、情報セキュリティ上のリスクについて、アセスメント(特定・分析・評価)を行って対応方針を決め、実際に現場で起きる様々なリスクへ対応し、一定期間状況を監視・記録(モニタリング)して検証(レビュー)し、結果を元に再度アセスメントから一連のプロセスを繰り返すというサイクルを継続的に実施することが求められる。
ISMSの起源はBSI(イギリス規格協会)が1995年に策定したイギリス国内規格であるBS 7799で、これを元に2000年に国際規格のISO/IEC 17799が策定され、2005年にISO/IEC 27001および27002に改番された。日本ではほぼ同様の内容が国内規格として2006年にJIS Q 27001/27002として標準化された。
日本ではJIPDEC(日本情報経済社会推進協会)の情報マネジメントシステム認定センターが主導してISMS適合性評価制度を運用しており、審査を経て認定を受けることによりISMSが適切に整備されていることを内外に示すことができる。
(2018.6.30更新)
関連用語
関連リンク (外部サイト)
他の辞典による解説 (外部サイト)
試験出題履歴
ITパスポート試験 : 【令6 問86】 【令5 問79】 【令5 問94】 【令4 問58】 【令3 問67】 【令3 問77】 【令2秋 問69】 【令2秋 問84】 【令2秋 問87】 【令2秋 問89】 【平31春 問63】 【平31春 問72】 【平30秋 問14】 【平30秋 問61】 【平30秋 問70】 【平30秋 問99】 【平30春 問70】 【平30春 問93】 【平29秋 問57】 【平29秋 問68】 【平29秋 問77】 【平29春 問62】 【平29春 問83】 【平28秋 問71】 【平28春 問73】 【平27秋 問62】 【平27秋 問69】 【平27秋 問80】 【平27春 問53】 【平27春 問56】 【平27春 問75】 【平27春 問81】 【平26秋 問78】 【平26秋 問83】 【平25秋 問57】 【平24春 問62】 【平23春 問84】 【平22秋 問58】