ISMSと情報セキュリティポリシー — 組織全体でセキュリティを管理する

導入

「情報の漏えいを防ぐ」といっても、個人の努力だけでは限界があります。大切な情報を組織全体で守るための「仕組み」として、ISMSという考え方が世界中の企業で採用されています。

くわしく知ろう

ISMS（情報セキュリティマネジメントシステム）とは、組織が保有する情報を守るために、計画・実施・点検・改善のサイクルを継続的に回す仕組みのことです。単なる技術的な対策にとどまらず、ルール作りや人材教育も含めた包括的な管理の枠組みを指します。

ISMSの国際規格として広く知られているのがISO/IEC 27001です。この規格の認証を取得した組織は、情報セキュリティへの取り組みが一定の水準に達していることを第三者機関によって証明されたことになります。

情報セキュリティポリシーは、ISMSを実践するうえでの「方針書」にあたります。組織の最高位の文書として、何を守り、誰がどのような責任を持つかを定め、従業員が守るべき基本方針を示すものです。ポリシーの下には、より具体的なルールを定めた「スタンダード」や「手順書」が位置づけられます。

ISMSでは情報資産（データ・機器・ノウハウなど）のリスクを評価し、リスクの大きさに応じて対策を講じることが求められます。すべてのリスクをゼロにすることは現実的ではないため、「受容」「低減」「回避」「移転」という4つのリスク対応策を組み合わせて管理していきます。

具体例

たとえば、ある企業がISO/IEC 27001の認証を取得すると、取引先や顧客に対して「情報を適切に管理している」という信頼を示せます。一方、ポリシーを策定するだけでなく、定期的な見直しと従業員への教育がなければ形骸化してしまう点も試験で問われます。

まとめ・試験ポイント

• ISMS＝情報セキュリティを組織全体で管理する仕組み（PDCAサイクル）
• ISO/IEC 27001＝ISMSの国際規格、第三者認証により信頼を証明
• 情報セキュリティポリシー＝組織の最高位の方針文書
• リスク対応＝低減・回避・移転・受容の4種類
• 試験では「ISMSの目的」「ISO/IEC 27001の位置づけ」がよく問われる