ISMSを利用して情報セキュリティのルール作り

ISO27000シリーズ、情報セキュリティマネジメントシステム（ISMS）は、情報資産（基幹システム、パソコン、スマホや会社の情報など）を管理するためのマネジメントシステムです。

ISMS: Information Security Management System

情報セキュリティマネジメントには、基幹システム、パソコン、スマホ等の利用・管理と、会社の情報に関する秘密保持や情報漏洩対策などが含まれます。

情報システム管理者の悩み

情報セキュリティのルールを作ろうと考えたきっかけから説明します。当時の状況について思いつくまま列挙してみると、

• 会社では基幹システムやパソコン、スマホ等を使っているが、そのルールはと言うと、なくはないが社内ルールで管理していますと言えるほどのものでもない。
• 情報セキュリティについてはお客様からの要求もあり、ルールを整備しようと思ったものの、具体的に検討しようとすると参考になるものがみつからない。
• 情報セキュリティは、社内外問わず気軽に相談できることではなく、具体的にどのように進めたらよいか分からない。
• 情報システムの管理は、担当者１人（いわゆる１人情シス）が担当しており、ルールを作れと言う方に無理があるだろう・・・。

といった状況でした。

情報セキュリティについて何とかしなければと思ってはみたものの、現状からどうしたらよいものかと悩んでいました。

そんな時、ISO27000シリーズには、ISMSの要求事項に加え、付属書Aに具体的な施策が定義されているため、情報セキュリティに関する枠組みとして網をかけることができるのではないかと思い付きました。

ISMSを認証取得目的ではなく、ガイドラインとして情報セキュリティのルール作りに利用できないかと考えたのです。

まずは、ISMSを利用して情報セキュリティの網をかけてみて、できていること、いないことを明確にすることから始めてみようというのが、情報セキュリティのルール作りの始まりになりました。

情報セキュリティマネジメントシステム（ISMS）に関するJIS規格

情報セキュリティマネジメントシステム（ISMS）に関する主なJIS規格を紹介します。この他にも、個人情報やリスクアセスメントに関するものもありますが、まずは、以下の３つの規格から始めました。

JIS Q 27001:2014（ISO/IEC 27001:2013）

情報技術－セキュリティ技術

－情報セキュリティマネジメントシステム－要求事項

JIS Q 27002:2014（ISO/IEC 27002:2013）

情報技術－セキュリティ技術

－情報セキュリティ管理策の実践のための規範

JIS Q 27000:2014（ISO/IEC 27000:2014）

情報技術―セキュリティ技術

－情報セキュリティマネジメントシステム－用語

JIS規格の検索については、以下をご参照ください。

ISO9000シリーズ等のJIS規格と「JIS検索」について

ISO9000シリーズ品質マネジメントシステム要求事項等とJIS規格を検索方法について説明します。「JISQ9004組織の持続的成功のための運営管理−品質マネジメントアプローチ」の「付属書A（参考）自己評価ツール」の自己採点はお勧めです。

pdcatovision.com

2023.12.17

はかせ

ISO27001と27002の2022年版が発行されました。

JIS版（日本語版）は2023年発行ですが、要求事項に大きな変更はないようですが、付属書Aが大幅に変更になっています。

ICTもずいぶん変わっていますので、ISMSを運用している組織は、現状とこれからを見直すよいチャンスとも言えそうです。

Need to Knowの原則

情報管理については、「Need to Knowの原則」があります。

「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない。」という原則で、情報セキュリティの基本的な考え方、指針になるものだと考えています。

情報セキュリティのルール作りを、利用者と管理者に分けるヒントとなったのがこの原則です。

クラウド時代のNeed to Know～情報セキュリティ初めの一歩

情報システムの経験から情報セキュリティの考えをまとめました。Need to Knowが存在しない世界、さてどうやって情報セキュリティルールを作ろうか、ルール作り後日談、Need to Know番外編について説明しています。

pdcatovision.com

2022.12.28

ISMSとISO9000シリーズの違い

ISMS、ISO27000シリーズは、ISO9000シリーズと比べると以下のような違いがあります。

情報セキュリティマネジメントシステムのマニュアルは、品質マニュアルに相当するもので、要求事項は品質マネジメントシステムと全く同じではありませんが同様の構成になっています。

相違点としては、大きく２点あります。

• 「付属書A　管理目的及び管理策」に、ISMSに必要な施策が定められていること
• リスクアセスメントの要求

リスクについては、品質マネジメントシステム（ISO9001:2015）でも要求されていますが、ISMSではより本格的なリスクアセスメントを含めた要求となっています。

情報セキュリティのガイドライン作成指針

情報セキュリティのガイドライン作成にあたり、以下の指針を決めてスタートしました。（指針と言うほどのものではありませんが。）

• 情報セキュリティについては、利用者側と情報システムの管理者の側面があるため、ルール（ガイドライン）は、利用者用と管理者用に分けることにする。
• まずは、一通りISO27000シリーズ（付属書A）に現状を当てはめてみる。

実際に取りかかってみると思っていた以上にボリュームが大きく、なかなか大変でした。挫折してはリセットを繰り返し、とりあえず形にするのに２年ほどかかってしまいましたが、情報セキュリティに関する知識を整理するのには大変役立ちました。

用語については、以下に一例をあげますが、正直なところISO9000（品質マネジメント）同様分かりにくいです。情報セキュリティの管理者であれば勉強して理解すればよいでしょうが、説明することを考えるとため息が出てしまいます。

もっとも、ISMSの用語の意味が分からなくても、ルール作成を進めるうちにどのようなものなのかは分かってきますので、ISMS専門用語についてはあまり悩まず、実際にやること、できること、できていないことのように、現場・現実優先で手を動かし進めていくのがよいと思います。

【2.33 情報セキュリティ】

情報の機密性（2.12）、完全性（2.40）及び可用性（2.9）を維持すること。

【2.12 機密性】

認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特例。

【2.40 完全性】

正確さ及び完全さの特性。

【2.9 可用性】

認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

【2.41 利害関係者】

ある決定事項若しくは活動に影響を与えるか、その影響を受けえるか、又はその影響を受けると認識している、個人又は組織。

JIS規格の検索については、以下をご参照ください。

ISO9000シリーズ等のJIS規格と「JIS検索」について

ISO9000シリーズ品質マネジメントシステム要求事項等とJIS規格を検索方法について説明します。「JISQ9004組織の持続的成功のための運営管理−品質マネジメントアプローチ」の「付属書A（参考）自己評価ツール」の自己採点はお勧めです。

pdcatovision.com

2023.12.17

まとめ

情報セキュリティマネジメントシステム（ISMS）は、情報資産（基幹システム、パソコン、スマホや会社の情報など）を管理するためのマネジメントシステムで、会社の情報に関する秘密保持や情報漏洩などが含まれます。

ここでは、以下について説明しました。

• 情報システム管理者の悩み
• 情報セキュリティマネジメントシステム（ISMS）に関するJIS規格
• Need to Knowの原則
• ISMSとISO9000シリーズとの違い
• 情報セキュリティのガイドライン作成指針