ISO27001<情報>
◇ ISMS : ISO27001とは
ISMS(Information Security Management System)とは、情報セキュリティマネジメントシステムのことで、情報セキュリティ上の個別問題の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分をしてシステムを運用することです。
このISMSについては、近年ISO(国際標準規格)の規格ISO27001として制定され、この規格に基づく適合性評価制度が品質ISO9001や環境ISO14001のように、財団法人日本情報処理開発協会で運用されています。そのため、ISMSというとこの認証取得のことを言う場合があります。
ところで、情報セキュリティマネジメントシステム(ISMS)の基本コンセプトですが、組織が保護すべき情報資産について、機密性、完全性、可用性をバランスよく維持し改善することと規定されています。(ISO/TEC13335-1:2004より引用)
1.機密性(Cofidenciality)
認可されていない個人、エンティティ(団体等)またはプロセスに対して、情報を使用不可または非公開にする特性
2.完全性(Integrity)
資産の正確さ及び完全さを保護する特性
3.可用性(Availavility)
認可されたエンティティ(団体等)が要求した時に、アクセス及び使用が可能である特性
◇ 資産とは
◇ 組織が保護すべき「情報資産」を例示すれば以下のようになります。
情報資産区分 | 例 示 |
情報資産 | 申込書、商品カタログ、仕切値表、マニュアル類、契約書(対顧客、対取引先)、見積書・納品書・発注書、社員名簿、社員緊急連絡先、雇用条件通知書、通勤手当支給申請書、給与振込依頼書、特別徴収税額通知書、社会保険書類、年金手帳、健康診断結果一覧表、機密保持誓約書、給与台帳、キャッシュフロー表、現・預金出納帳、請求書・領収書、経理伝票、決算書類、システム構成図、ネットワーク構成図、システム設定情報、什器管理表 |
ソフトウェア資産 | OS、ワープロソフト、表計算ソフト、データベースソフト、プレゼンソフト、メールソフト、ブラウザソフト、ウイルス対策ソフト、画像編集ソフト、ホームページ作成ソフト、会計ソフト、社内システム、ユーティリティソフト |
物理的資産 | パソコン(ノート型含む)、サーバ、モデム、ルータ、スイッチングハブ、無線LAN、FD、CD-ROM、LANケーブル、電話機(携帯含む)、FAX機、コピー機、PDA |
サービス | 通信サービス、インターネット接続・暖房、照明、電源、空調、警備サービス |
≪ 要求事項 ≫
この規格は、情報セキュリティマネジメント(以下ISMSという)を確立、導入、運用、監視、レビュー、維持及び改善するためのモデルを提供するために作成され、プロセスアプローチを採用すると明言されています。