ISMS(情報セキュリティマネジメントシステム)について

目次出力

情報セキュリティマネジメントとは

ISMSを策定し、実施すること。

ISMSとは

ISMS（情報セキュリティマネジメントシステム）とは、組織における情報資産のセキュリティを管理するための枠組み。

ISO/IEC 27000 シリーズとは

国際標準化機構 (ISO) と国際電気標準会議 (IEC) が共同で策定する情報セキュリティ規格群。ISMSでの情報セキュリティの管理・リスク・制御に関するベストプラクティスを提供する。

あらゆる規模と形態の組織に適用可能。ISMS にはPDCAサイクルによる継続的なフィードバックと改善が導入されている。

ISO/IEC 27001

組織の ISMS を認証するための要求事項、フレームワーク。数万の組織がすでにISO/IEC 27001によるISMS を実施している。

情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示している。

取得するメリット

• 情報セキュリティのリスクの低減
• 企業としての信用性の向上
• 従業員の情報セキュリティに対する意識の向上

プライバシーマークとの違い

ISO/IEC 27001は情報資産すべてが対象、プライバシーマークは個人情報が対象。規格は JISQ15001:2006。両方取得しても良いけど、普通は、どちらか一方で良い。

費用

認証登録：会社の規模によっても料金設定に幅があり、最低規模の審査でも50万円～100万円ほど。第一段階審査（文書審査）、第二段階審査（現地審査）の2回に分かれている。

維持審査：年に1回（更新審査がある場合は不要）。認証登録時の約3割の金額。

更新審査：3年に1回。登録時の約6～7割の金額。

設備投資：セキュリティソフト等のライセンス購入、入退室管理機器の購入など。

コンサルタント費用：ISMSの認証取得や運用を支援して貰う場合。

参照

保存版！ISMSを取得するためには？費用と手順と注意点