ISMSとは?
ISMSは、情報セキュリティマネジメントシステム(Information Security Management System)の略称です。ISO27001では、ISMSを「マネジメントシステム全体の中で、事業リスクに対する取り組みに基づいて、情報セキュリティの確立、導入、運用、監視、見直し、維持及び改善を担う部分」と定義されています。すなわちISMSとは、PDCAサイクルの仕組みを運用するマネジメントシステムのうち、情報セキュリティに関わる部分を指します。
また、ISMSでは、あらかじめ定められたセキュリティ対策をそのまま実施するのではなく、組織が主体的に管理策を検討し、取捨選択して実施しなければなりません。組織が所有する情報資産を明確にし、機密性・完全性・可用性の3つの観点からリスクの評価・分析を行い、リスク低減のための管理策を決定します。
管理策の検討にあたっては事業内容、所有する情報資産、組織風土、情報セキュリティの現状等を考慮し、最も適切なものを選択しなければなりません。
| 組織の規模 | 目安となる費用 | 目安となる期間 | ||
| 小規模 (従業員20名未満) |
約300万円前後 | 半年~1年 | ||
| 中規模 (従業員20名以上100名未満) |
約500万円前後 | 1年前後 | ||
| 大規模 | 約500万円~1000万円 | 1年以上 | ||
ISMS認証取得の期間と費用を決定する要因には組織の「規模・複雑さ」と「知識・経験」があります。
規模・煩雑さ
期間と費用に最も影響を与える要素が、組織の規模です。事務所や営業所の数、管理対象とする情報資産の種類や数量が多いほど、費やす時間・人件費・交通費等の諸経費が増加します。また、業務や情報システム・ネットー枠システムが複雑であればあるほど、実施しなければならない対策やルールも複雑となり期間と費用に影響を与えます。全く関係のない業務を適用範囲とすることでISMSの構築・運用に影響が出るのであれば、適用範囲の分割も考慮しましょう。
知識・経験
ISMSの構築には、認証規格の理解のみではなく、リスクアセスメントの知識が要求されます。リスクアセスメントは構築のステップの中でも特に困難であり、地位s期だけではうまく進まず、プロジェクトの中断や手戻りが頻発し、結果として膨大な次官と費用を費やすことになります。組織内に知識、経験を有する人材がいない場合はコンサルタントの活用が必要になります。構築プロジェクトに知識・経験を持った人材が加わることで、作業効率が向上し、時間と費用を節約することができます。
- ISO27001(ISMS)の概要 - 組織の情報資産を把握し、経営として守っていくための仕組み。
- ISO27001の特徴 - 情報資産の機密性、完全性、可用性をバランスよく維持し改善する。
- 認証取得の必要性 - 国や地方自治体において、認証取得を取引や入札の条件に指定するケースが増えています。
- 内閣官房情報セキュリティセンター:NISCは、情報セキュリティに関するナショナル・センターとして設置されました。
- 新会社法と内部統制:大会社の経営者には「内部統制システム」の整備義務が課せられるようになりました。
- JALカード:Suica(スイカ)やPASMO(パスモ)対応カードも登場。空でも陸でも賢くマイルを貯めて、特典航空券をゲット!
- シンクライアント:金融機関やコールセンターなど顧客情報や機密情報などを扱う組織のセキュリティ対策として注目されています。