ISMSってどんなもの？ 株式会社福岡情報ビジネスセンター OT勉強会資料 ISO/IEC 27001

もくじ 2 1. 経緯と目的 2. ISMSとは 3. 定期的に行っていること 4. ISO規格改訂

経緯と目的 ISMSの規定が改訂されます 今一度「ISMSとは何なのか」を 確認共有したいと思った次第です

ISMS - Information Security Management System 4 情報セキュリティマネジメントシステム

ISMSとは 5 情報セキュリティの3原則 PDCAサイクル よく耳にする2つの要素 PLAN DO CHECK ACTION 機密性 可用性 完全性

6 ISMSとは ◼ 一定の基準を元に策定したルールのこと ◼ 一定の基準は「ISO規格」に準拠している ◼ 評価機関(認証機関)が一定の基準を満たしているかを 評価する ◼ 一定の情報セキュリティレベルを達成することを目的 としている ISMS ルール 評価制度

ISMSとは ー ISO規格との関係性 7 ◼ ISO規格 ⚫ 情報セキュリティに特化した「一定の基準」が記述されたドキュメント ◼ ISMSルール ⚫ 「ISO規格」に基づいて作成した、セキュリティに特化した社内ルール ◼ 評価制度 ⚫ 社内ルールがISO規格に準拠しているか、ちゃんと運用されているかチェックする ・ISO規格(一定の基準) ・ひな型 ・ISMSルール ・社内ルール ・ISMS評価制度 ・審査員 ISMS

ISMSとは ー 評価機関 8 ◼ 評価機関ってどんなことをするの？ ⚫ISMSのルールがISO規格の基準を満たしているか チェック ⚫ISMSのルールを守って運用しているかチェック ⚫ISMSとして承認する ◼ 評価機関ってどこの会社？ ⚫https://isms.jp/lst/isr/

ISMSとは ー ISO規格 9 ◼ ISO - International Organization for Standardization ⚫ 国際標準化機構 ⚫ 役割：製品やサービスを同じ品質やレベルで提供できるように、国際的な基準を発行すること ⚫ 所在地：スイス – ジュネーブ ⚫ ロレックス… ◼ ISO規格 ⚫ 製品やサービスなど、分野によってさまざまな基準が定義されているドキュメントのこと ⚫ 物理的な製品だけでなく、リスクを管理するための仕組みに対しても規格が用意されている ⚫ ISMSのISO規格はここに当たる ⚫ FBIが定義しているISMSの基準 ISO規格に従ってISMSルールを作ったけど、ISO規格ってそもそも何？

ISMSとは ー ISO規格の種類 10 ISO 7010 ISO/IEC 7810 ISO 9001 ISO/IEC 27001 ⚫ 識別カード - 物理的特性 ⚫ 身分証明書カードの4つの形状を定めた国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO/IEC_7810 ⚫ 品質マネジメントシステム - 要求事項 ⚫ 品質マネジメントシステムに関する国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO_9000 ⚫ 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 ⚫ 情報セキュリティマネジメントシステム（ISMS）に関する国際規格 ⚫ FBIで認証を受けている規格 ⚫ 図記号 - 安全色及び安全標識 - 職場及び公共の場所で用いる安全標識 ⚫ 危険標識・警告標識・安全標識についての国際標準化機構 の国際規格 ⚫ https://ja.wikipedia.org/wiki/ISO_7010

11 ここからはISMS構築の例になります ISO規格、ISMSルール、評価制度の関係性 イメージできたでしょうか？

ISMSとは ー ISO規格との関係性 12 ◼ ISO規格 ⚫ 情報セキュリティに特化した「一定の基準」が記述されたドキュメント ◼ ISMSルール ⚫ 「ISO規格」に基づいて作成した、セキュリティに特化した社内ルール ◼ 評価制度 ⚫ 社内ルールがISO規格に準拠しているか、ちゃんと運用されているかチェックする ・ISO規格(一定の基準) ・ひな型 ・ISMSルール ・社内ルール ・ISMS評価制度 ・審査員

ISMSとは ー ISMS構築の例 13 ◼ 要求事項（基準） ⚫ クレジットカードはプラスチックで生産しなければならない ⚫ 大きさは「85.6mm × 53.98mm」で生産しなければならない ISO/IEC 7810 クレジットカードの生産にあたって ◼ 社内ルール ⚫ クレジットカードの材料はメーカー〇〇から〇〇を仕入れるようにする ⚫ 大きさに一致しないカードが生産された場合は不良在庫として出荷しない ⚫ 生産工程で不良在庫の検品を行うことで誤出荷を防ぐ ⚫ 年に1回、抜き打ちチェックを行うことで、検品自体の正当性を証明する（内部監査） ISMS

ISMSとは ー ISMS評価制度の例 14 ◼ 社内ルール ⚫ クレジットカードの材料はメーカー〇〇から〇〇を仕入れるようにする ⚫ 大きさに一致しないカードが生産された場合は不良在庫として出荷しない ⚫ 生産工程で不良在庫の検品を行うことで誤出荷を防ぐ ⚫ 年に1回、抜き打ちチェックを行うことで、検品自体の正当性を証明する（内部監査） ISMS ◼ ちゃんとISO規格の要求を満たせるルールが制定されているか？ ⚫ ISMSのドキュメントを確認して要求事項に対するルールの策定漏れが無いかチェックする ◼ ちゃんとISMSの活動をやっているか？ ⚫ メーカー〇〇から仕入れた材料の伝票、あるいは現物を見せてください ⚫ 不良在庫の検品記録を見せてください 審査/評価の観点

ISMSとは ー ISO規格 15 ◼ 要求事項の一覧（一部抜粋） 1. ISMS の適用範囲は、文書化した情報として利用可能な状態にしておかなければならない 2. 媒体が不要になった場合は、正式な手順を用いて、セキュリティを保って処分しなければ ならない 3. アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、 レビューしなければならない（ネットワーク） 4. セキュリティを保つべき領域は，認可された者だけにアクセスを許すことを確実にするた めに、適切な入退管理策によって保護しなければならない（物理的） 5. 組織は、この規格の要求事項に従って、ISMS を確立し，実施し，維持し，かつ，継続的 に改善しなければならない

ISMSとは ー ISO規格 16 ・ISO規格 A.○.○.○ という単位で要求事項が書かれている 全部で114項目

ISO規格改訂 17 ISO規格とは「○○しなければならない」という既定の一覧でした。 その規定に従って「弊社では○○を行うことで規格の要求を満たします」という形で ISMSが構築されていました。

ISO規格改訂 18 「○○しなければならない」という要求事項が統合されたり、追加されたりして 「114」個から「93」個の要求事項に変更になりました 5.7：脅威インテリジェンス 情報セキュリティの脅威に関連する情報を収集/分析し、脅威インテリジェンスを作成する ことが望ましい 5.23：クラウドサービス利用のための情報セキュリティ クラウドサービスの取得、利用、管理、および終了に関するプロセスは、 組織の情報セキュリティの要求事項に基づいて確立することが望ましい。 5.30：事業継続のためのICT備え ICTの備えは、事業継続の目的とICT継続の要求事項に基づいて、 計画、実施、維持、テストされることが望ましい。 全部で93項目

ISO規格改訂 ー やらないといけないこと 19 新規格に従ったルール決め ドキュメント更新 運用レベルでの最適化 ⚫ めんどくさい申請の撤廃など ⚫ ISMS-D1101_ISMS文書管理台帳 に記載しているドキュメントを新規格用に変更 ⚫ セミナーや勉強を行い知識を身に着ける ⚫ 定例会だけでなくバックログ、チャットワークなどを活用して検討を行う

ISO規格改訂 ー やらないといけないこと 20 ・頻繁に不具合が起こるサービスは利用しない。 ・過去に大規模なインシデントが発生したサービスは利用しない。 ・社員の口座情報はクラウド上にはアップロードしない。 など 選定基準を決めてISMSのルールを策定する必要があります。

まとめに入ります 以上、ISO規格改訂の話でした

◼ ISMSとは、セキュリティに特化したルールと基準を満たしているかを評価する制度のこと ISO規格に従って社内のセキュリティルールが構築されている ◼ ISO規格は身近なところにたくさんある クレジットカードや標識など ◼ ISO規格改訂に伴う対応は結構大変

THANK YOU