やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ISMS(Information Security Management System) Ver.2

 ISMS(情報セキュリティマネジメントシステム)とは、組織内での情報資産の取り扱いについて、その確保すべきセキュリティ水準を定め、計画や規約、体制を整備して運用していく取り組みのことです。

 ISMSは、国際規格のISO/IEC 27001、国内規格JIS 27001に定められた要求事項を満たす必要があります。

 そのためには、これらの規格を満足する情報セキュリティポリシーを作成して、全社的な取り組みとして周知、実施を図る必要があります。

 また、情報セキュリティポリシーは定期的に見直しして、各プロセスを繰り返す必要があります。

 日本では、JIPDEC(Japan Institute for Promotion of Digital Economy and Community:日本情報経済社会推進協会)の情報マネジメントシステム認定センターが、ISMS適合性評価制度を運用しています。

 組織は、この制度の審査認定を受けることで、ISMSが適切に整備されていることを公開することができます。

kikakurui.com

isms.jp

 

(Ver.2追記)平成29年度 春期 情報セキュリティマネジメント試験 午前

f:id:aolaniengineer:20191109093426p:plain

情報セキュリティマネジメント試験 平成29年度 春期 午前 問11

 JIS Q 27000:2014の認識(7.3項)で以下のように記載されています。

  • 組織の管理下で働く人々は、次の事項に関して認識を持たなければならない
  • a)情報セキュリティ方針
  • b)情報セキュリティパフォーマンスの向上によって得られる便益を含む、ISMSの有効性に対する自らの貢献
  • c)ISMSの要求事項に適合しないことの意味
ア 情報セキュリティ適用宣言書

 情報セキュリティ適用宣言書とは、組織において実施されたリスクアセスメント及びリスク対応のプロセスの結果や、必要な管理策、実施する理由などを記載している文書のことです。

イ 情報セキュリティ内部監査結果

 JIS Q 27000:2014の内部監査(9.2項)で以下のように記載されています。

  • 組織は、ISMSが次の状況にあるか否かに関する情報を提供するために、あらかじめ定めた間隔で内部監査を実施しなければならない
  • a)次の事項に適合している
  • 1)ISMSに関して、組織自体が規定した要求事項
  • 2)この規格の要求事項
  • b)有効に実施され、維持されている
ウ 情報セキュリティ方針

 これが正解です。

エ 情報セキュリティリスク対応計画

 JIS Q 27000:2014の情報セキュリティリスク対応(8.3項)で以下のように記載されています。

  • 組織は、情報セキュリティ対応計画を実施しなければならない
  • 組織は、情報セキュリティ対応結果の文書化した情報を保持しなければならない

 

平成29年度 春期 情報セキュリティマネジメント試験 午前

f:id:aolaniengineer:20191027141617p:plain

情報セキュリティマネジメント試験 平成29年度 春期 午前 問1

 ISMSの「リーダシップ」の項では、組織のトップマネジメントが実証すべきリーダシップとコミットメントについて、以下のように記載されています。

  • 情報セキュリティ方針及び情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にする。
  • 組織のプロセスへのISMS要求事項の統合を確実にする。
  • ISMSに必要な資源が利用可能であることを確実にする。
  • 有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達する。
  • ISMSがその意図した成果を達成することを確実にする。
  • ISMSの有効性に貢献するよう人々を指揮し、支援する。
  • 継続的な改善を促進する。
  • その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、その管理層の役割を支援する。
  ISMSの有効性に寄与するよう人々を指揮し、支援する。

 これが正解です。 

  ISMSを組織の他のプロセスと分けて運営する。

 ISMSは、組織全体の情報セキュリティ確保の活動であり、他のプロセスとも連携して運営する必要があります。 

  情報セキュリティ方針に従う。

  情報セキュリティ方針に従うのは、トップマネジメントだけでなく組織に所属する全員の義務です。

  情報セキュリティリスク対応計画を策定する。

 情報セキュリティリスク対応計画の策定は、トップマネジメントによるリーダシップ及びコミットメントを実証するための行動ではありません。