🔐 ITパスポート | テクノロジ系・マネジメント系

ISMSとは?

情報セキュリティを「一時的な対策」ではなく仕組みとして継続運用する体制。ISO/IEC 27001が国際規格。

🎬 こんなシーンを想像
情報システム担当になったあなた。「うちの会社はISMS認証を取得している」と聞いた。パスワードルールを作ったこととは何が違うのか…
調べると「セキュリティの仕組み自体を組織として継続的に管理・改善する体制」のことだとわかった。
…ルールを作るだけじゃなく、"仕組みごと"マネジメントするんだ!
🔄 ISMSのPDCAサイクル PDCA 継続改善 Plan(計画) リスクアセスメント・対策立案 Do(実施) 対策の実行 Check(評価) 監査・レビューで評価 Act(改善) 見直し・修正

ISMSでは情報セキュリティを一度きりの対策でなく、PDCAサイクルで継続的に改善し続けることが核心。セキュリティポリシーを作って終わりではない。

🛡️ 情報セキュリティの3要素(CIA)

ISMSが守るべき情報の3要素。試験頻出。

機密性 C

許可された人だけがアクセスできる

完全性 I

情報が正確で改ざんされていない

可用性 A

必要な時に使える状態を保つ

🗺️ ISMS認証取得の流れ
① 情報セキュリティポリシー策定
組織の方針・規則・手順を文書化する。
② リスクアセスメント・対策実施
リスクを洗い出し、優先度をつけて対策を実行する。
③ 内部監査・マネジメントレビュー
自社でチェックし、改善点を把握する。
④ 第三者機関による審査・認証
ISO/IEC 27001に基づき審査機関が認証を付与する。
⚠️ ひっかけ注意ポイント
ISMSとセキュリティポリシーは別物
セキュリティポリシーはISMSの一部(文書)。ISMSはポリシーを含む仕組み全体
「認証取得=安全」ではない
ISMS認証は「仕組みが適切に整備・運用されている」の証明。インシデントが絶対起きないわけではない。
ISO/IEC 27001との混同
ISO/IEC 27001はISMSを認証するための国際規格。ISMSは仕組みそのもの。規格と仕組みは別の概念。
判断のコツ
情報セキュリティを組織的・継続的に管理する仕組み」=ISMS。単なるルールや技術対策とは異なる。
🧠 覚え方(無理やりゴロ)
ISMS=「いつもセキュリティ回す!」
I=Information / S=Security / M=Management / S=System

「アイスム(ISMS)=冷静にPDCA回す!」
Plan→Do→Check→Actをぐるぐる回す仕組み=ISMSの核心
ITパスポート 詳細解説 / HTML+SVG(文字はすべてテキスト=検索エンジンが読める)