情報セキュリティマネジメントシステム(ISMS)とは?
こんにちは。
スリーエスシステムアンドサービスのよしおです。
弊社でも認証取得している、情報セキュリティマネジメントシステム(ISMS)について簡単にお話ししたいと思います。
ISMSは、Information Security Management Systemの頭文字をとったもので、
情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用する仕組みです。
→情報セキュリティマネジメントシステム(ISMS)とは
簡単に言うと、まず自社のリスクを洗い出し、リスクが高いものに関しては対策を計画として立て、投資を行いリスクをより少なくする活動を繰り返し行っていく(PDCA)仕組みをつくって、運用をしていくことです。
具体的な例では、
- リスクの洗い出し
・現状、社内ではノートPCを机に置きっぱなしで帰宅している。
→これは盗難のリスクがあるので対策が必要だ。 - 対策(PLAN)
→施錠可能なPCラックを購入し、保管する。 - 確認(DO,CHECK)
→ラック購入後、利用状況を確認する。 - 改善(ACTION)
→この方法でノートPCの盗難リスクが低減できていれば、クローズ。
十分でなければ、他の対策を検討する。
これはあくまでもリスクの一例ですが、他にも事業を続けるうえで妨げとなる様々なリスクを洗い出し、その対策をすることで、よりリスクを少なくする活動を繰り返しおこなっていくということになります。
今回の例でいえば、ラックごと盗まれてしまった場合はどうすることもできません(泣)
リスクをゼロにすることは難しいですが、より少なくすることはできますよね。
ISMSで要求されている事項(かなり多いです)が、しっかり行われているかを第三者に審査してもらい、構築と運用がしっかりできていると判断されて初めて、認証を取得できます。
弊社では2012年3月に認証を取得して間もなく5年が経とうとしておりますが、
皆さまに安心してお取り引きいただけるよう、引き続きISMS活動に取り組んでまいります。