読み方 : アイエスエムエス

ISMS 【Information Security Management System】 情報セキュリティマネジメントシステム

概要

ISMS(Information Security Management System)とは、組織内での情報の取り扱いについて、機密性完全性、可用性を一定の水準で確保するための仕組み。特に、ISO/IEC 27001などの標準規格に基づいて整備された組織的なセキュリティ管理体制。

解説 組織の管理の一環として、取り扱う情報の種類などから確保すべきセキュリティの水準を定め、計画や規約を整備して情報システムの運用などに反映させる取り組みの総体を指す。具体的には、国際規格であるISO/IEC 27001および同等の国内規格JIS Q 27001に定められた要求事項を満たし、体制を整備して継続的に実施することが求められる。

組織がどのような情報をどのように取り扱うかを特定し、情報の適切な保護・管理についての基本方針や対策基準(情報セキュリティポリシー)、実施手順などを定め、担当部門だけでなく全社的な取り組みとして周知・実施を図る。

また、情報セキュリティ上のリスクについて、アセスメント(特定・分析・評価)を行って対応方針を決め、実際に現場で起きる様々なリスクへ対応し、一定期間状況を監視・記録(モニタリング)して検証(レビュー)し、結果を元に再度アセスメントから一連のプロセスを繰り返すというサイクルを継続的に実施することが求められる。

ISMSの起源はBSI(イギリス規格協会)が1995年に策定したイギリス国内規格であるBS 7799で、これを元に2000年に国際規格のISO/IEC 17799が策定され、2005年にISO/IEC 27001および27002に改番された。日本ではほぼ同様の内容が国内規格として2006年にJIS Q 27001/27002として標準化された。

日本ではJIPDEC日本情報経済社会推進協会)の情報マネジメントシステム認定センターが主導してISMS適合性評価制度を運用しており、審査を経て認定を受けることによりISMSが適切に整備されていることを内外に示すことができる。

(2018.6.30更新)

他の用語辞典による「ISMS」の解説 (外部サイト)

資格試験などの「ISMS」の出題履歴

▼ ITパスポート試験
令7 問59】 ISMSにおける内部監査に関する記述のうち,適切なものはどれか。
令7 問83】 ISMSの運用にPDCAモデルを採用している組織において,サーバ監視に関する次の作業を実施する。各作業とPDCAモデルの各フェーズの組合せとして,適切なものはどれか。
令7 問84】 ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
令6 問86】 PDCAモデルに基づいてISMSを運用している組織において、C(Check)で実施することの例として、適切なものはどれか。
令5 問79】 PDCAモデルに基づいてISMSを運用している組織の活動において、次のような調査報告があった。この調査はPDCAモデルのどのプロセスで実施されるか。
令5 問94】 ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
令4 問58】 ISMSの計画、運用、パフォーマンス評価及び改善において、パフォーマンス評価で実施するものはどれか。
令3 問67】 ISMSにおける情報セキュリティに関する次の記述中のa、bに入れる字句の適切な組合せはどれか。情報セキュリティとは、情報の機密性、完全性及び [  a  ] を維持することである。
令3 問77】 PDCAモデルに基づいてISMSを運用している組織の活動において、リスクマネジメントの活動状況の監視の結果などを受けて、是正や改善措置を決定している。
令2秋 問69】 ISMSの確立、実施、維持及び継続的改善における次の実施項目のうち、最初に行うものはどれか。
令2秋 問84】 ISMSの情報セキュリティリスク対応における、人的資源に関するセキュリティ管理策の記述として、適切でないものはどれか。
令2秋 問87】 ISMSにおける情報セキュリティに関する次の記述中のa、bに入れる字句の適切な組合せはどれか。情報セキュリティとは、情報の機密性、 [  a  ] 及び可用性を維持することである。
令2秋 問89】 PDCAモデルに基づいてISMSを運用している組織の活動において、PDCAモデルのA(Act)に相当するプロセスで実施するものとして、適切なものはどれか。
平31春 問63
平31春 問72】 ISMSの導入効果に関する次の記述中の a、b に入れる字句の適切な組合せはどれか。 [  a  ] マネジメントプロセスを適用することによって、情報の機密性、[  b  ] 及び可用性をバランス良く維持、改善し、[  a  ] を適切に管理しているという信頼を利害関係者に与える。
平30秋 問14】 ISO(国際標準化機構)によって規格化されているものはどれか。
平30秋 問61】 PDCAモデルに基づいてISMSを運用している組織において、運用しているサーバのソフトウェアに対する最新の修正プログラムの有無を、定められた運用手順に従って毎日調べる業務は、PDCAのどのフェーズか。
平30秋 問70】 ISMSにおける情報セキュリティ方針の説明として、適切なものはどれか。
平30秋 問99】 ISMSにおける情報セキュリティリスクアセスメントでは、リスクの特定、分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
平30春 問70】 ISMSにおけるリスク分析に関する記述として、適切なものはどれか。
平30春 問93】 ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
平29秋 問57】 ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”には、リスク対応、リスク評価、リスク分析が含まれる。
平29秋 問68】 全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述のうち、適切なものはどれか。
平29秋 問77】 PDCAモデルに基づいてISMSを運用している組織において、サーバ運用管理手順書に従って定期的に、“ウイルス検知用の定義ファイルを最新版に更新する”作業を実施している。
平29春 問62】 ISMSに関するトップマネジメントの考え方や基本原理を示す公式な文書はどれか。
平29春 問83】 ISMSにおける情報セキュリティリスクの特定に関する記述において、a、bに入れる字句の適切な組合せはどれか。 ISMSの [  a  ] における情報の機密性、 [  b  ] 及び可用性の喪失に伴うリスクを特定する。
平28秋 問71
平28春 問73】 情報セキュリティマネジメントシステムを構築した企業において、情報セキュリティ方針を改訂したことを周知する範囲として、適切なものはどれか。
平27秋 問62】 ISMSの情報セキュリティ方針に関する記述として、適切なものはどれか。
平27秋 問69】 PDCAモデルに基づいてISMSを運用している組織において、始業時の手順に従って業務用PCに適用されていないセキュリティパッチの有無を確認し、必要なパッチを適用している。
平27秋 問80】 ISMSに関する記述のうち、適切なものはどれか。
平27春 問53】 ISMSにおけるセキュリティリスクへの対応には、リスク移転、リスク回避、リスク受容及びリスク低減がある。リスク回避に該当する事例はどれか。
平27春 問56】 情報セキュリティに関する用語である可用性、完全性、機密性及びぜい弱性のうち、ISMSが組織の情報資産に対して維持管理すべき特性としているものだけを全て挙げたものはどれか。
平27春 問75】 ISMSの運用において、監査結果をインプットとし、ISMSを継続的に改善するための是正処置及び予防処置を行うプロセスはPDCAサイクルのどれにあたるか。
平27春 問81】 組織の活動に関する記述 a~d のうち、ISMSの特徴として、適切なものだけを全て挙げたものはどれか。a 一過性の活動でなく改善と活動を継続する。
平26秋 問78】 ISMSを構築する組織において、企業の経営方針に基づいて情報セキュリティ基本方針を策定した。これは、ISMSのPDCAサイクルのどのプロセスで実施されるか。
平26秋 問83】 社内のISMS活動の一環として、サーバのセキュリティについて監査を行うことになった。最初に実施することとして、適切なものはどれか。
平25秋 問57】 ISMSを運用している組織において、退職者が利用していたIDを月末にまとめて削除していたことについて、監査で指摘を受けた。
平24春 問62】 情報セキュリティマネジメントシステム(ISMS)のPDCA(計画・実行・点検・処置)において、点検フェーズで実施するものはどれか。
平23春 問84】 情報セキュリティマネジメントシステム(ISMS)では、“PDCA”のアプローチを採用している。Dの段階で行うものはどれか。
平22秋 問58】 情報セキュリティマネジメントシステム(ISMS)のPDCA(計画・実行・点検・処置)において、処置フェーズで実施するものはどれか。

▼ 基本情報技術者試験
令1修12 問58】 JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
平30秋 問58】 JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
平27修1 問38】 ISMSにおいて定義することが求められている情報セキュリティのための方針群に関する記述のうち,適切なものはどれか。
平23修6 問79】 JIS Q 27001:2006におけるISMSの確立に必要な事項①~③の順序関係のうち,適切なものはどれか。① 適用宣言書の作成② リスク対応のための管理目的及び管理策の選択③ リスクの分析と評価。
平22春 問80】 JIS Q 27001:2006におけるISMSの確立に必要な事項①~③の順序関係のうち,適切なものはどれか。① 適用宣言書の作成② リスク対応のための管理目的及び管理策の選択③ リスクの分析と評価。