そもそもISMSとは何を達成するために行うものなのでしょうか。
しっかりと目的を把握することで、より有効な取り組みにつながります。
そこで今回は、「ISMSとは何を達成するためのものか」をテーマに考えていきましょう。
ISMSの目的を紐解く
ISMSに取り組むことで何を達成することができるのか。
その答えはISMSの基礎となる規格、JIS Q 27001の「0.1 概要」にあります。
ISMSは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える。
JIS Q 27001:2014より引用
つまり2つの目的が存在していることがわかります。
- 情報の機密性、完全性及び可用性を維持すること
- リスクを適切に管理しているという信頼を利害関係者に与えること
1. 情報の機密性、完全性及び可用性を維持する
「情報が漏れない」「情報が誤っていない」「必要なときにいつでも利用できる」状況を保つということです。
つまり、ISMSの全ての活動は上記を維持していくために行うものであるということになります。
例えば、情報資産やリスクを把握しセキュリティを守っていくのための仕組みを作っていくことで、上記の性質を維持することにつながります。
また、チェックしていくことでも仕組みに抜け漏れがないかを確認することができます。
2. リスクを適切に管理しているという信頼を利害関係者に与える
ISMSの取り組みでは自組織のリスクを把握・管理し、リスクに対処するための仕組み作りを行っていくことになります。
つまりISMSを構築するということは、情報セキュリティのための取り組みを行っているという印象を第三者に与えることができるのです。
「何かに基づいているわけではないけど情報セキュリティ対策してます」という組織と、「国際規格に則ってISMSを構築して情報セキュリティ対策してます」という組織があった場合、一般的には後者の方が信頼できるでしょう。
まとめ
今回は、ISMSによって何を達成することができるのか考えてきました。
ISMSとは、情報セキュリティの3要素を維持し、しっかりとリスクを管理しているという信頼を与えることができるものです。
もちろんISMSに取り組めば勝手にこれらが達成できるわけではなく、組織として積極的に取り組めば、より高い効果を発揮することができます。
自組織の情報セキュリティを高めたいと考えている、第三者から見たときの信頼度を高めたいといった方はISMSの構築・運用、認証の取得を検討してみてはいかがでしょうか。