本記事は教養記事シリーズその46です。その他の教養記事は【超初心者向け】3分で分かる!教養記事シリーズ目次をご覧ください。
ISMSを一言で
ISOとは?
IECとは?
CCとは?
各規格の位置付け
ISMSとは
ISMS(Information Security Management System)は,無理矢理日本語にすれば「情報セキュリティ管理システム」となります。つまり,情報セキュリティを守るために国際的に定められた仕組みをISMSと呼びます。情報セキュリティは,以下の3つの要素+αからなります。
【情報セキュリティの要素】
●機密性
●完全性
●可用性
(●真正性)
(●責任追跡性)
(●否認防止)
(●信頼性)
機密性というのは,データへの読み取りには権限が必要であることを指します。また,情報が正確であることを完全生と呼びます。加えて,必要なときに情報にアクセスできることを可用性と呼びます。
これらの要素を守っていくために,ISMSでは以下の流れに沿って情報マネジメントを実施するべきだとしています。特に,「PDCAを回す」という部分は重要です。ISMS以外の国際基準でも要求される要素になっているからです。
1.組織と現状の理解
2.「情報セキュリティ組織」を作る
→適用範囲の設定
3.ISMS基本方針を文書化する
→ポリシーとの一体化
4.継続的な改善(=PDCAサイクル)
ISOとは
ISMSを規格として定めたものがISO規格です。そもそも,ISOというのは非政府機関 International Organization for Standardization(国際標準化機構)の略称です。
ISOでは,全世界で同じ品質の製品・サービスを提供するための規格を定めています。例えば,ネジや非常口のマークの規格を定めています。他にも,マネジメントシステムの規格も定めています。中でも,品質や環境に関するマネジメント規格が有名です。
●ISO 9001:品質マネジメントシステム
●ISO 14001:環境マネジメントシステム
IECとは
IEC(International Electrotechnical Commission)も,ISOと同様の機関のことを指しています。IECでは,特に電気工学分野に関する国際基準を策定します。電気工学には「通信」や「電磁気」が含まれますので,情報セキュリティに関する規格を定める際には非常に重要な分野になってきます。
代表的な規格に,IECEE(電気機器適合性試験認証)やIECQ(電子部品品質認証)が挙げられます。ISO/IECというのは,ISOとIECが一緒になって規格を定めましたという意味です。
CCとは
CC(Common Criteria)は,情報セキュリティの評価基準の1つです。ヨーロッパのITSECや米国のTCSEC(Trusted Computer System Evaluation Criteria)などの基準を統合した規格がCCになります。
具体的には,CCはISO/IEC 15408で定められています。ちなみに,ISMSはISO/IEC 27001で定められています。ISO/IEC 27001を日本語化した規格は「JIS Q 27001」です。
各規格の位置付け
以上をまとめていきます。まず,3大マネジメントシステムとして以下が挙げられます。QMSは「品質管理マネジメントシステム」,EMSは「環境管理マネジメントシステム」を指します。
【3大マネジメントシステム】
●ISMS(ISO/IEC 27001)
●QMS(ISO9001)
●EMS(ISO14001)
ISO/IEC 27001を日本語化した規格がJIS Q 27001でした。ISOやIECは,国際基準を策定する非政府組織の名前でした。ISO/IEC 15408で定められるCCは,情報セキュリティの評価基準に関する規格のことを指していました。
ひとこと
用語が多すぎて混乱しますが,最低限代表的なものを覚えておけばOKです。ISOやIECが機関の名前であることや,ISMSが仕組みの名前であることをおさえておけば,他の概念もうまく頭に入ってくると思います。
