ISMSとは
Information Security Management Systemの略。情報セキュリティ管理に関する認証制度のこと。「個別の問題ごとの技術対策のほかに、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである」と定められている。ISO27001として国際規格化されており、その認証取得によって、国際規格に準拠した情報セキュリティ管理システムを有している証明になる。2004年にスタートした制度で、ISMSの認証を取得するには日本情報処理開発協会(JIPDEC)が認定した「審査登録機関」による審査を受ける必要がある。
ISMSでは、情報セキュリティの主な要素として以下の3つを挙げている。
(1)機密性:情報を外部に漏らさないこと
(2)完全性:情報が改ざん・削除されないこと、情報の処理方法が正しいこと
(3)可用性:権限を持つ人がいつでも情報にアクセスできること
情報セキュリティは、機密性や完全性を追求するあまり可用性が損なわれても、逆に可用性を優先しすぎて機密性や完全性が確保できなくなっても機能しない。この3つをバランス良く対策することが最も大切である。
近年では、企業内外を問わず、ネットワーク環境が不可欠であることから、外部からの不正アクセスやウイルス侵入などにより、企業内の情報が漏えいするリスクが高くなっている。それだけに今後も取得する企業が増えることが予測されている。