「情報セキュリティマネジメントシステム(ISMS)」とは、情報に関するセキュリティを管理するための仕組みであり、その構築の方法と認定の基準は国際規格ISO/IEC 27001や日本工業規格(JIS)JIS Q 27001によって定められています。
取扱者の資格・技能・経験などの人的資産、組織のイメージをはじめとする無形資産、データベース・データファイル・監査証跡・手順書などの情報資産、開発用ツール・業務用ソフトウェア・システムソフトウェアなどのソフトウェア資産、通信装置・コンピュータ装置・記録媒体などの物理的資産、空調設備・電源設備、照明設備などのサービス資産。
ISMSは、これらの情報資産を明確化し、そうした資産のリスクを洗い出した後に、リスクを軽減する対策を実施することにより、セキュリティの向上を目指します。
ISMSの構築は、その適用範囲を決定することから始まります。ISMSの適用範囲は、複数の部門を網羅しているため、境界線を明確化し、合理的に説明できることが求められます。
次に、ISMS適用範囲に含まれる組織の人員構成や、規定類の整備状況、情報システムの利用状況などを考慮して基本方針を策定することになります。続いて、リスクアセスメント(識別された情報資産に対するリスクを識別し、手順に従ってそれらの大きさを決定すること)の体系的な取り組み方法を策定します。
その後、情報資産のリスクを識別し、分析・評価し、明確になったリスクへの対応を実施します。リスク対応の内容は、「適切な管理策の採用」、「リスクの保有」、「リスクの回避」、「リスクの移転」のいずれかになります。続いて、JIS Q 27001の付属書A内の「管理目的及び管理策」により、リスク対応に関する管理目的や管理策を選択し、その有効性や妥当性を示すとともに、残留リスクを経営陣が確認し、ISMSの実施を許可します。
そして、最後に「適用宣言書」を作成することになります。