ISMSの取得方法と維持する為に必要なこと

ISMS（＝「情報セキュリティマネジメントシステム」とも呼ばれており、企業や組織の情報資産や機密データを整理し、適正な管理や取り扱い、それらを継続的に運用していくルールの仕組み）を取得することは企業にとって多くのメリットがあり、最近では中小企業を含めて多くの企業が導入するようになってきました。しかし、ISMSは簡単に取得することはできるわけではなく、一定の条件を満たしている必要があります。今回はISMSの取得方法や維持についてご紹介したいと思います。

ISMSを取得するメリット

ISMSを取得すると

（１）情報漏洩のリスクが低減したり、万一漏洩が起きた場合でも被害を最小限に抑えたりすることができます。

（２）情報資産に対して社員の意識レベルが向上し、うっかりミスや過信を防ぐといった内部的なメリットも期待できます。

（３）さらに、外部的なメリットとして、認証をPRすることにより、顧客からの信頼を確保しやすくなる点が挙げられます。

ISMSはとても信頼度が高い認証制度の1つですので、ライバルとの差別化にも利用でき、知名度やイメージアップにも繋がります。

このようにISMSを取得すると、結果としてさまざまな観点から情報漏洩の可能性を少なくすることができ、企業における漏洩リスク低減とともに、信頼度の向上や取引先開拓のアピールポイントとして使うことができるでしょう。

ISMS制度の要求事項と取得までの流れ

ISMSの認証を取得するにあたって、情報セキュリティの3要素というものがあります。これらを柱にしながら導入を進めるのが基本となります。

機密性

機密性とは、権利を持った人だけがアクセスできる状態になっているかを言います。例えば、同じ企業の社員であっても、「給与一覧」などのファイルが誰でも閲覧可能な状態では大変なことになります。このように正当な権利を持った人だけが使用できるようにすることが必要です。具体策としては、アクセス権の設定やパスワードなどを使用するといった方法があります。

完全性

完全性とは容易にファイルの変更や改ざんができない状態になっているかを言います。機密文書の内容を勝手に書き換えたり、削除されない状態を確保しているかどうか。具体例としては、読み取り専用にしたり、検出ソフトを使用したりすることなどが挙げられます。

可用性

可用性は情報資産を必要なときにすぐ取り出せるかどうかを言います。もちろん検索が容易であったり、探しやすいような仕組みも大切ですが、データが行方不明になったり、消去されないようにバックアップをする体制が整えてあるか、万が一の復旧作業が容易に行えるかどうかも問われます。

上記の3つの枠組みを基本とし、JIS Q 27001：2014の要求事項を満たす必要があります。JIS Q 27001は組織の状況の下で、情報セキュリティ対策を行うための約束やルールなどが記載されています。これを要求通りこなすことで、ISMSの認証を受けることができます。

内容と取得までの流れとしては「組織の情報の把握」、「方針決定」、「計画」、「文書化」、「教育」、「運用」、「内部監査、評価」、「改善」といった順で進めます。第三者機関の評価としては実際に運用が始まってから文書審査、現場審査の2つの審査をクリア後、認証登録をする流れが一般的です。

ISMSを維持するためには？

ISMSは取得したらそれで終わりではなく、運用が継続できているかをチェックするサーベイランス審査が1年毎（状況によってはもっと短くなることもあります）に実施されます。また、再認証審査は3年毎に実施され、運用と改善がしっかりできているかどうかを問う「継続と更新の妥当性」が評価されます。

ISMS取得を維持していくためには、継続的なセキュリティ対策が鍵となります。現状を正確に分析し、情報の取り扱いを行う業務のうち、まだまだ改善の余地がある項目の実施や検討、さらに施策の改善は必須と言えます。
例えば、電子データのセキュリティ対策は万全なものの、紙のデータに関しては機密性や完全性が保たれていない場合も多いようです。そんな時には、印刷専用のセキュリティ対策「PRINT EYE（プリントアイ）」などのセキュリティ対策製品の導入なども検討し、ISMSの維持をしっかりと行っていきましょう。

ISMSの取得には多くのメリットが期待できる一方、取得や維持には一定の要求事項を満たしたり、日々の改善が必要不可欠となります。上記を参考にしていただき、ISMS導入を検討してみてください。