情報セキュリティマネジメントシステム（ISMS）

情報セキュリティマネジメントシステム（ISMS）とは、組織が“情報を安全に管理するための仕組み”を体系的に整える考え方です。

情報セキュリティというと、パスワードやウイルス対策ソフトを思い浮かべる方が多いかもしれませんね。もちろんそれも大切ですが、ISMSはもっと広い視点から組織全体の取り組みをとらえます。単に「守る」だけではなく、「どんなリスクがあるのか」「どう管理し、見直していくか」を「Plan」「Do」「Check」「Act」などのプロセスとして考え、このサイクルを回しながら、情報の安全を保っていくのが特徴です。

ISMSが対象とするのは、パソコンやネットワーク機器だけではありません。紙の書類や人の記憶、会話といった有形・無形の情報まで含めて、漏えいや改ざん、紛失などのリスクから守ることを目的としています。

では、具体的にはどのように進めるのでしょうか。一般的には、国際規格である「ISO/IEC 27001」に基づいて仕組みを構築します。この規格では、リスクを洗い出し、必要な対策を講じ、その対策の有効性を定期的に確認しながら改善を重ねていくことが求められています。

例えば、重要な書類を施錠されたキャビネットに保管したり、退職者のアカウントを確実に削除したりするような運用ルールを決めるのも、ISMSの一部です。情報を取り扱うあらゆる場面において、「うっかり」「なんとなく」で済ませない運用を定めること。これがISMSの基本です。

なお、ISMSは一度つくって終わりではありません。ルールを形だけ整えても、現場で守られていなければ意味がありませんよね。ですから、教育や訓練、内部監査などを通じて、継続的に運用されているかを確認していく必要があります。

ISMSは「管理の仕組み」であり、「文化」でもあります。組織が一体となってセキュリティを意識する。その土台をつくるための枠組みがISMSなのです。