ストラテジ系

ISMSと情報セキュリティポリシー — 組織全体でセキュリティを管理する

導入

「情報の漏えいを防ぐ」といっても、個人の努力だけでは限界があります。大切な情報を組織全体で守るための「仕組み」として、ISMSという考え方が世界中の企業で採用されています。

なぜ重要か

ISMS(情報セキュリティマネジメントシステム)は、ITパスポートのテクノロジ系・ストラテジ系の両面で頻繁に登場する重要テーマです。「ISMSの目的」「ISO/IEC 27001の役割」「情報セキュリティポリシーの位置づけ」「リスク対応の4分類」は繰り返し問われており、確実に得点できる単元です。

情報漏えいやサイバー攻撃が社会問題となっている現代では、企業がISMSを構築して認証を取得することは、取引先や顧客に対する信頼の証明として経営的な意味を持ちます。「技術的な対策を入れれば安全」という考え方からISMSへの移行は、セキュリティを組織マネジメントとして捉える視点の転換を意味しています。ITを活用する組織に勤めるすべての人に関係する知識です。

くわしく知ろう

ISMS(情報セキュリティマネジメントシステム)とは、組織が保有する情報を守るために、計画・実施・点検・改善のサイクル(PDCAサイクル)を継続的に回す仕組みのことです。単なる技術的な対策にとどまらず、ルール作りや人材教育も含めた包括的な管理の枠組みを指します。

ISMSの国際規格として広く知られているのがISO/IEC 27001です。この規格の認証を取得した組織は、情報セキュリティへの取り組みが一定の水準に達していることを第三者機関によって証明されたことになります。

情報セキュリティポリシーは、ISMSを実践するうえでの最上位の方針文書です。組織として「何を守り、誰がどのような責任を持つか」を定め、従業員が守るべき基本方針を示します。ポリシーの下には、より具体的なルールを定めた「スタンダード(基準)」や「手順書(プロシージャ)」が位置づけられます。

ISMSでは情報資産(データ・機器・ノウハウなど)のリスクを評価し、リスクの大きさに応じて対策を講じることが求められます。すべてのリスクをゼロにすることは現実的ではないため、「低減(対策を講じてリスクを下げる)」「回避(リスクのある活動をやめる)」「移転(保険で損害を補填する)」「受容(コストと見合わないリスクは受け入れる)」という4つのリスク対応策を組み合わせて管理していきます。

具体例で理解する

ある企業がISO/IEC 27001の認証を取得すると、取引先や顧客に対して「情報を適切に管理している」という信頼を示せます。一方で、ポリシーを策定するだけでなく、定期的な見直しと従業員への教育がなければ形骸化してしまうため、PDCAサイクルを回し続けることがISMSの本質です。

試験での出題パターン

【パターン1:ISMSの目的・定義を問う問題】

「ウイルス対策ソフトを導入する技術的な仕組み」「暗号化プロトコル」などの技術的な説明と区別して、「PDCAサイクルを使って組織全体で継続的に情報セキュリティを管理・改善する仕組み」という定義を選べるようにしておきます。ISMSは技術だけでなく、ルール・教育・運用を含む包括的な管理体制です。

【パターン2:ISO/IEC 27001の認証が示す内容を問う問題】

この認証は「インシデントがゼロであること」「法令に完全準拠していること」を保証するものではありません。「第三者機関が情報セキュリティ管理の仕組みを審査し、一定の水準に達していると認めた」という点が正確な説明です。

【パターン3:リスク対応の4分類を問う問題】

具体的な場面とリスク対応の種類を対応させる問題が出題されます。「クラウドサービスのデータ損失に備えて保険に加入する=移転」「個人情報を扱う業務自体をやめる=回避」「ファイアウォールを導入してリスクを下げる=低減」「コストが高いため現状のままにする=受容」という対応関係を整理しておきましょう。

よくある間違い・紛らわしいポイント

【ISMSとセキュリティツールの混同】

ISMSはウイルス対策ソフトやファイアウォールといった特定のツールのことではありません。ツールの導入はISMSの「対策実施」の一部にすぎず、ISMSはその上位にある管理体制全体を指します。「ISMSを導入した=ウイルス対策ソフトを入れた」という誤解は典型的な間違いです。

【情報セキュリティポリシーの階層の誤解】

情報セキュリティポリシーは組織の最高位の方針文書ですが、「具体的な手順(パスワードの変更頻度など)」はその下位に位置する手順書やスタンダードに記載されます。ポリシーには「具体的な操作手順を細かく規定する」という役割はなく、方向性と責任を示すものです。

【リスク移転と回避の混同】

リスク移転は「リスクは残るが、損害が発生した場合の費用負担を他者(保険会社など)に移す」対応です。リスク回避は「リスクそのものをなくすために、該当する活動や資産を手放す」対応です。「保険に入る=回避」という誤解が生じやすいため注意が必要です。

まとめ・試験ポイント

  • ISMS=PDCAサイクルで情報セキュリティを組織全体で継続的に管理する仕組み
  • ISO/IEC 27001=ISMSの国際規格、第三者認証により管理水準を対外的に証明
  • 情報セキュリティポリシー=組織の最高位の方針文書(具体的手順は下位文書に委ねる)
  • リスク対応4種:低減(対策を講じる)・回避(活動をやめる)・移転(保険等で補填)・受容(受け入れる)
  • ISMSは技術的対策だけでなく、ルール・教育・運用を含む包括的な管理体制
  • 試験では「ISMSの目的」「ISO/IEC 27001の認証の意味」「リスク対応4分類の具体例」が頻出

学習した内容を試験形式で確認しよう。ITパスポート入門試験100問に挑戦できます。

入門試験100問に挑戦する