そもそも、
ISMSって何ですか?
「情報セキュリティマネジメントシステム」の略称です。
難しそうに聞こえますが、要するに「大切な情報を守るためのルールと仕組み」のことです。
なぜ「仕組み」が必要なの?
ウイルス対策ソフトを入れたり、ファイアウォールを設置したりする「技術的な対策」はもちろん重要です。
しかし、どんなに高性能な鍵をかけても、社員が鍵を開けっ放しにしていたり、合鍵を誰かに渡してしまっては意味がありません。
「人」や「組織」の行動も含めて、トータルで情報を守るためのルール作りと運用体制。それが ISMS です。
みんなで守る
一部の責任者や担当者だけが頑張るのではなく、全従業員がルールを守ることで初めて安全が確保されます。
守るべき「3つの要素 (CIA)」
情報セキュリティとは、情報の「機密性」「完全性」「可用性」を維持することです。
機密性 (C)
Confidentiality
許可された人だけがアクセスできること。
例:パスワード設定、アクセス権限管理
完全性 (I)
Integrity
情報が正確で、改ざんされていないこと。
例:バックアップ、改ざん検知、更新履歴
可用性 (A)
Availability
必要なときにいつでも使えること。
例:システムの安定稼働、災害対策(BCP)
終わりなき「改善」のサイクル
セキュリティ対策に「これで完璧」というゴールはありません。新しい脅威は日々生まれています。
そのため、ISMSではPDCAサイクル(計画→実行→評価→改善)を回し続けることが求められます。
- Plan: どんなリスクがあるか洗い出し、ルールを決める
- Do: ルールに従って業務を行い、教育を受ける
- Check: 内部監査などで、ルールが守られているか確認する
- Act: 見つかった問題を修正し、ルールをより良くする