ISMSとは

ISO/IEC 27001:2013 / JIS Q 27001:2014

ISMS

ISO/IEC 27001:2013は、情報セキュリティマネジメントシステムの国際規格です。情報セキュリティマネジメントシステム(Information Security Management System / ISMS)を 確立し、導入すること、導入したシステムを運用、監視、見直しながら維持し、改善してゆくための モデルを提供することを目的としています。

企業や組織が情報セキュリティを確保・維持するために、ルール(セキュリティポリシー)に基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する枠組みです。

組織全体に渡ってセキュリティ管理体制を構築・監査し、リスクマネジメントを実施します。

ISMSでは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用します。組織が保護すべき情報資産について、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)をバランス良く維持し改善することがISMSの要求する主なコンセプトです。

犯罪や災害から守りながらも、情報を必要とする人々に対して適切に提供できる環境、体制を構築し、運用するのです。守らなければならない単なるルール・法律ではなく、運用することで運用主体者が利益を得ることを重視します。