最終更新:2013-04-13 (土) 17:18:29 (2640d)  

ISMS
Top / ISMS

Information Security Management System - 情報セキュリティマネジメントシステム

個別の問題毎の技術対策の他に、組織マネジメントとして、自らのリスクアセスメント?により必要なセキュリティレベル?を決め、プランを持ち、資源?を配分して、システムを運用すること

全体像

  • 組織が必要な情報セキュリティの活動や管理策を計画する
  • 計画どおりに導入および実施する
  • 実施したままにせずにうまく機能しているかどうかを点検する
  • その結果から必要な改善を行っていく

ということを継続的に行う仕組みのこと

コンセプト

機密性?完全性?可用性?をバランス良く維持し改善することがISMSの要求する主なコンセプトである」と設定している。

  • 機密性?
    • アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
  • 完全性?
    • 情報および処理方法が正確であることおよび完全であることを保護すること。
  • 可用性?
    • 認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。

規格

  • ISO/IEC 27000? - ISMS 規格についての概要と基本用語集(2009年発行)
  • ISO/IEC 27001 - 組織のISMSを認証するための要求事項(2005年発行)
  • ISO/IEC 27002 - ISMS実践のための規範
  • ISO/IEC 27003? - ISMS 実装ガイド(2010年発行)
  • ISO/IEC 27004? - 情報セキュリティの測定(2009年発行)
  • ISO/IEC 27005? - 情報セキュリティのリスクマネジメント (2008年発行)
  • ISO/IEC 27006? - 認証/登録プロセスの要求仕様(2007年発行)
  • ISO/IEC 27011? - ISMS の通信業界への適用に関する手引き(X.1051)(2007年発行)
  • ISO 27799? - 健康情報の情報セキュリティ管理(2008年発行)