ISMS
Information Security Management System
あいえすえむえす
他の資格での定義
情報セキュリティマネジメントシステム。組織の情報セキュリティを管理するための仕組みで、JIS Q 27001(ISO/IEC 27001)に基づき、リスクアセスメントを行い、管理策を選定・実施・運用・監視・改善するPDCAサイクルを回す。
組織の情報セキュリティを体系的に管理するための仕組み。計画(Plan)、実行(Do)、点検(Check)、改善(Act)のPDCAサイクルで継続的に改善する。JIS Q 27001(ISO/IEC 27001)が要求事項を、JIS Q 27002が管理策の実施の手引きを規定する。
組織の情報セキュリティを体系的に管理するための仕組み。ISO/IEC 27001で要求事項が定められ、リスクアセスメントに基づく管理策の選定・実施・監視・改善のサイクルで運用される。
ISO/IEC 27001に基づく情報セキュリティの管理体制。リスクアセスメントを行い、適切な管理策を選定・実施・監視・改善するPDCAサイクルを回す。ISMS認証を取得することで第三者による適合性が確認される。
組織の情報セキュリティを管理するための仕組み。ISO/IEC 27001(JIS Q 27001)に基づき、リスクアセスメントを行い、適切な管理策を選定・実施・運用・監視・改善するPDCAサイクルを回す。ISMS適合性評価制度により第三者認証を受けることができる。
関連キーワードの用語
組織の情報セキュリティに対する方針や行動指針を文書化したもの。基本方針、対策基準、実施手順の3階層で構成されるのが一般的で、組織全体の情報セキュリティ活動の基盤となる。
リスクの特定、分析、評価を体系的に行うプロセス。リスクの発生確率と影響度を評価し、対策の優先度を決定する。経営リスクや情報セキュリティリスクなど、さまざまな分野のリスクマネジメントの中核的な手法。
経営陣が主導して、組織全体の情報セキュリティ活動を統治・管理するための枠組み。経営戦略と整合した情報セキュリティ方針の策定、資源配分、リスク管理の意思決定を含む。JIS Q 27014(ISO/IEC 27014)で規定されている。
経営陣が承認し、組織の情報セキュリティに対する方向性と支持を表明する文書。情報セキュリティの目的、適用範囲、基本方針を定め、組織全体のセキュリティ活動の基盤となる。法令・規制・契約上の要求事項や情報セキュリティの動向を踏まえて策定・改定する。
自然災害やサイバー攻撃などの事業中断リスクに対して、事業の継続性を確保するためのマネジメントシステム。ISO 22301に基づき、事業影響度分析(BIA)、事業継続計画(BCP)の策定・訓練・改善を行う。
リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを算定し、対応の優先度を判断する。ISMSにおけるリスクマネジメントの中核プロセスである。