B05-ISMS関連 のバックアップ(No.1)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• 現在との差分 - Visual を表示
• ソース を表示
• B05-ISMS関連 へ行く。
  • 1 (2021-09-23 (木) 10:18:29)
  • 2 (2024-10-16 (水) 12:57:29)
  • 3 (2024-10-16 (水) 14:14:39)
  • 4 (2025-02-04 (火) 14:46:20)
  • 5 (2025-06-04 (水) 15:11:08)
  • 6 (2025-06-07 (土) 12:32:32)
  • 7 (2025-06-24 (火) 16:54:03)

○ISMSとは

　情報セキュリティマネジメントシステム適合性評価制度であり、

　情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメント

　により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用するものです。

　#情報マネジメントシステム認定センターより

○ISMS関連の規格

　情報セキュリティマネジメントシステム

　・ISO/IEC 27001:2013（国際標準化機構）

　・JIS Q 27001:2014（日本産業規格）

　クラウドセキュリティ認証

　・ISO/IEC 27017:2015（国際標準化機構）

　・JIS Q 27017:2016（日本産業規格）

○ISMS認証の取得企業に対する目線

　「ISO/IEC 27001:2013」という国際規格に沿って、情報セキュリティを確保するための仕組みを持ち

　その仕組みを維持し継続的に改善していることを意味する。

　もっと分かりやすい言葉で言えば、

　１「情報セキュリティに関するしくみ（文書や環境）が一定のレベルにある」→国際規格のレベルに達している

　２「情報セキュリティに関するしくみ」が運用レベルできちんと実施できている　→上記同様

　と言い換えることができる。何も認証を取得していない企業が「当社はしっかり情報セキュリティを管理している」

　といっても、エビデンスがないため「信用できない」。私個人の見解としてはそのような企業はたいてい「いいかげん」な

　管理であることが多く（第三者チェックがないから）取引対象にはなりません。

　たまに、「認証を維持することが目的であり、実際は形骸化している企業が多い、だから取得する必要はない」

　とお聞きすることもありますが、少なくとも審査員の目からは一定の基準にあるわけであり、ある程度のレベル

　は満たしていると考える。（必要がないかどうかは人の価値観それぞれなので否定はしませんが・・）

　やはり、高セキュリティの業務依頼を行うには認証は必要であると判断できる。

　※形骸化＝経営層や管理職の「管理、統制」の能力が低いことを自ら露呈しており、危険な発言です

○認証に関する情報

　・情報マネジメントシステム認定センター

　　https://isms.jp/