企業や組織でデジタル化が進み、業務が効率化され生産性が上がるなどのメリットをもたらしています。
しかし、セキュリティ管理ができていない場合、情報漏えいや不正アクセスなどのリスクも併せ持っているのです。企業や組織がリスクから情報資産を守るための体制づくりの参考にすべき指標が「情報セキュリティ管理基準」です。
本記事では、情報セキュリティ管理基準とはどのようなものかを詳しく解説します。管理基準の構成や活用方法なども紹介しますので、セキュリティポリシーの見直しや対策にお役立てください。
情報セキュリティ管理基準とは
情報セキュリティ管理基準とは、経済産業省によって策定されたガイドラインです。
企業や組織がアプリケーションやクラウドなどの IT を活用して業務を行うにつれて、サイバー攻撃による情報漏えいやデータの改ざんなどのリスクも高まります。企業は自社で保有する情報資産を守る責任があるのです。
情報セキュリティ管理基準において、情報資産とはデジタルデータだけでなく、紙の情報、業務に使用している PC 、 USB メモリなどの機器も含んでいます。
これらの情報資産を安全に管理する体制を整え、維持するために必要な基準や管理の方法を示したものが、情報セキュリティ管理基準です。
ISO/IEC 27000 シリーズとは
ISO/IEC 27000 シリーズは、国際規格を制定する国際標準化機構( ISO )と国際電気標準会議( IEC )によって策定された情報セキュリティの管理国際規格群のことを指します。
なかでも ISO 27001 は、組織が ISMS 認証を取得するための要求事項を示したもので、シリーズの中核となる国際規格です。
ISO/IEC 27000 シリーズと並んで話題に上がる言葉に JIS Q 27000 や JIS Q 27001 があります。これは、 ISO/IEC 27000 シリーズから、日本独自の規格である JIS (日本産業規格)に互換性の高い規格を日本語化したもので、内容はほぼ英語のものと同様です。
情報セキュリティ管理基準の改訂
情報セキュリティ管理基準は、 2003 年(平成 15 年)に ISO/IEC 17799:2000 をもとにして情報セキュリティの管理や管理項目について定められました。その後、 ISO/IEC 27000 シリーズに新たな策定があったことを受けて、 2008 年(平成 20 年)に改定され「平成 20 年改正版」が発行されています。
さらに、 2013 年(平成 25 年)に ISO/IEC 27001 及び 27002 が改訂されたことで、現在の「平成 28 年改正版」が発行されました。この改訂では多くの人が管理体制を構築し、管理策を運用できるようにするための変更が加えられています。
そもそも情報セキュリティ管理とは
情報セキュリティ管理基準は、業務のデジタル化によるセキュリティ上のリスクに対する管理基準を定めたものですが、そもそも情報セキュリティとはどのようなものでしょうか?
情報セキュリティとは、企業や組織の情報資産を守ることです。情報資産は企業が保有するすべての情報を指し、データで保存された情報以外にも契約書など紙ベースで保存された情報や PC 、 USB メモリ、サーバーなども含みます。
情報セキュリティでは、以下の 3 つの要素を維持することが大切です。
- 機密性
- 完全性
- 可用性
機密性や完全性を強化すれば、不正アクセスや情報漏えいが防げます。一方で、利用者が必要なときに目的のデータへ安全にアクセスできる可用性も必要です。 3 つの要素をバランスよく保てるように運用を改善すべきでしょう。
企業における情報セキュリティ管理の必要性
ITの利用が促進された現在の環境では、サイバー攻撃などのリスクに備える情報セキュリティ管理が企業にとって必須です。
膨大な情報を保有する企業がサイバー攻撃の被害に遭えば、経済的な損害を被るだけでなく、社会的な信頼も失うことになるでしょう。企業や組織が自ら情報資産を守るためには、管理するシステムの導入だけでなく、セキュリティポリシーの策定や従業員への教育などの対策をしなくてはなりません。
情報セキュリティ管理基準は、企業がセキュリティ対策を整えるために参考にすべきガイドラインなのです。
情報セキュリティ管理基準の構成
情報セキュリティ管理基準は、以下の 2 つの基準で構成されています。
- マネジメント基準
- 管理策基準
各章は運用・監視やレビュー・計画、管理・改善などの項目があり、項目ごとにさらに詳細な管理策が示されています。
マネジメント基準
マネジメント基準は、情報セキュリティ管理の計画、実行、点検、処置を行うための明確な実施項目を定めたものです。 JIS Q 27001:2014 に基づいて策定されていますが、多くの利用者が使うことを視野に入れて編成されています。
また各項目の末尾には基準となる JIS Q 27001:2014 への対応がわかるように、 JIS Q 27001:2014 の番号が示されています。
このマネジメント基準は、原則としてすべて実施すべき項目であると記載されています。
管理策基準
管理策基準は、マネジメント基準の内容を実現するために詳細な管理策を提示したもので、企業で管理策を選択する際に参考にすべき項目です。
内容は JIS Q 27002:2014 に基づいて作成され、管理策と詳細管理策で構成されています。
管理策は、企業が自社のセキュリティに関してリスクがあるか判断し、評価・分析をおこなった結果に基づいて選ぶ選択肢です。詳細管理策は、環境に合わせて項目を選択します。
情報セキュリティ管理基準の活用方法
情報セキュリティ管理基準は、そのまま運用することを目的とするものではありません。自社の状況を確認し、安全性を維持するための対策を立てる際の基準として使われています。
ここでは、情報セキュリティ管理基準がどのように活用されるのか紹介します。
適切なセキュリティポリシーの策定
セキュリティポリシーとは、企業や組織が示す情報セキュリティに関する行動指針を示したものです。内容についての明確なルールはなく、一般的には以下の 3 つで構成されています。
- 基本方針:企業の情報セキュリティに対する基本的な考え方
- 対策基準:基本方針の実現のためにする対策
- 実施手順:対策基準で定めた項目を実現する具体的な手順
これらの内容は保有する情報資産や企業や組織の規模を考慮して決めるため、企業ごとに内容が異なります。
情報セキュリティ管理基準は、適切なセキュリティポリシーを策定するために多くの企業や組織で参考にされるガイドラインです。
情報セキュリティ監査における判断の尺度
情報セキュリティ監査とは、第三者の立場から企業や組織の情報セキュリティレベルを検証・評価することです。
情報セキュリティ監査により安全性が保証されれば、取引先からの信頼性が高まるメリットがあります。ほかにも監査では管理についての助言を受けられるため、体制の改善にも役立ちます。
この情報セキュリティ監査では、判断の尺度として情報セキュリティ管理基準が活用されています。
ISMS 認証取得に向けたガイドライン
ISMS は「 Information Security Management System 」の頭文字を取った言葉で、情報セキュリティリスクを管理する仕組みです。
ISMS 認証を受けると、社外にセキュリティレベルが高い企業としてアピールできます。入札条件や取引条件に ISMS 認証を取得していることが含まれる場合も多く、取得すれば業務拡大や業績向上にも貢献するでしょう。
情報セキュリティ管理基準は、「 ISMS 適合性評価制度」へ整合する内容です。 ISMS 認証を取得したい企業は、体制の確認のために情報セキュリティ管理基準を利用できます。
情報セキュリティ管理基準を確認して適切な体制を構築しよう
急速に業務の IT 化が進むにつれて、サイバー攻撃も高度化しています。多くの個人情報や機密情報を保有する企業は、情報を適切に守らなくてはなりません。
セキュリティを管理できる体制を整えるためには、第三者による監査をおこなうことも必要になるでしょう。安全性が確保された環境を維持できれば、安心して業務に臨めるだけでなく、社外からの信頼を得るメリットも期待できます。
情報セキュリティ管理基準は、企業が情報を安全に管理できる体制を構築するためのガイドラインとして、監査の基準にも使われ ISMS 取得にも役立ちます。
現在のセキュリティ環境の確認や見直しを検討している場合には、情報セキュリティ管理基準を参考にしてみてください。