ISMS認証は情報セキュリティレベルを向上・改善する取り組みとしておなじみです。本連載ではISMSをおさらいしながら、2013年の改訂内容を踏まえた動向を解説していきます。第1回目はISMSの概要とメリット・デメリットについてです。
※編注:本稿で述べられたものは、執筆者の私見であり、執筆者が所属する法人の意見ではありません。
組織における情報セキュリティのレベルを向上・改善するための取り組みの一つとして、ISMS認証(Information Security Management Systems)――情報セキュリティマネジメントシステム認証――がよく知られています。情報漏えいなどのセキュリティ事故が引き続き発生し、情報セキュリティの必要性が注目を浴びている中、本稿ではいま一度ISMS認証について注目し、その概要から2013年の改訂内容、認証取得の流れ、認証取得におけるマネジメントの関わりを紹介します。
ISMS認証は、情報セキュリティに関して、組織としてリスクをアセスメントし、それに沿った仕組みが運用できているかということを認証するものです。ISMS認証は認証機関による審査を受けることで取得できます。
認証機関は「日本情報経済社会推進協会」(JIPDEC)により認定を受けた団体であり、2015年11月現在26社あります。JIPDECのWebサイトで確認することができます。一覧に掲載されている認証機関であれば、どの団体でも審査を依頼することができますが、利害関係があるなどの理由で受け付けられない場合があります。
認証取得を希望する場合は、まず認証機関を決め、登録の条件などを刷り合わせた上で申請し、審査を受けます。審査の結果、要求事項を満足していることが確認されれば、認証登録されます。認証登録後も、通常は継続のための審査が毎年行われます。そして3年に一度再認証のための審査が行われます。
前段で、「組織としてリスクをアセスメントし、それに沿った仕組みが運用できているか」と書きましたが、なぜそんなことが必要になるのでしょうか。情報セキュリティを維持するためにはさまざまな対策しなければなりません、もちろん、さまざまな対策をするためには、「人」「モノ」「金」といったリソースが必要です。ところが、企業にあるリソースは有限ですので、対策に優先度をつけ、効率的かつ効果的な運用を行う必要があります。そのために行うべき管理が、情報セキュリティマネジメントです。
ISMS認証を取得することのメリットとデメリットについてはさまざまな点があります。そのようなメリットとデメリットには主に以下の点が挙げられます。
・取引先や顧客等における安心感
取引の際にISMS認証を取得しているということで、情報セキュリティに関して一定のレベルの管理がされているという安心感を与えることが考えられます。例えば、官公庁などではISMS認証を取得していることが入札の要件になっていることもあります。
・セキュリティに関するリスク低減
一定程度のセキュリティ管理のレベルを維持することができるため、情報セキュリティに関するリスクを低減することが考えられます。
・ISMS認証のための業務負荷の増加
認証のために各種申請の様式を作成することがあります。この運用が従業者の業務負荷となることがあります。ISMS認証を継続するためにも、毎年継続の審査を受ける必要があり、その対応に事務局担当の職員等が工数を取られることになります。
・ISMS認証のためのコストの増加
単純に、毎年の審査費用がかかります。ITシステムで対応する場合、システム開発や運用のための費用がかかります。
こういったメリットとデメリットをよく検討した上で、ISMS認証を取得するかどうかを検討しましょう。次回からは2013年に改定されたポイントを中心にISMSの流れを解説していきます。
デロイトトーマツリスクサービス/シニアコンサルタント。大手SIerを経て2008年に監査法人トーマツに入所。大手流通、マスコミ、人材関連、中央省庁、IT企業をはじめとする多様な業種・業界に対して個人情報をはじめとする情報管理やセキュリティマネジメントに関するリスクコンサルティングや監査サービスを多数提供。CISA(公認情報システム監査人)、PCI-QSA(PCI DSSに関する審査資格)などの資格を有する。
Copyright © ITmedia, Inc. All Rights Reserved.