ドクターQがお届けするIT統制ブログ　ITサプリ

"セキュリティマネジメント"をテーマに据えて、情報セキュリティの現状をお伝えしている当シリーズ。今回は「セキュリティマネジメント」について考えてみましょう。

「マネジメント」は、一般的に経営や管理と訳されますが、本質的には必要な諸条件を整えて維持し、さらなる成長を目的とした戦略の立案・決定・実行することを指します。その手法をセキュリティにも適用し、セキュリティの向上を目指しているのが「セキュリティマネジメント」です。

　「セキュリティマネジメント」は、企業が情報を適切に管理し、機密を守るためのカギとなる重要なものです。「ISMS(情報セキュリティマネジメントシステム)適合性評価制度」などが注目されているのもセキュリティに対する関心の表れでしょう。

ISMSは、財団法人日本情報処理開発協会が推進するセキュリティ対策の完成度を第三者が評価する制度です。ISMSは評価基準として、10の管理分野と、36の管理目的、127の管理策から構成される「JIS X 5080」がベースとなっています。

　ISMSでは、まず作成したセキュリティポリシーに基づいて、情報セキュリティ対策の具体的計画、方針を策定します(Plan)。次に、その計画に基づいてセキュリティ対策の実施・運用を行って(Do)、実施した結果を監査します(Check)。最後に経営陣による見直しを行い、改善するサイクルを継続的に繰り返すことで(Action)、情報セキュリティレベルの向上を図ります。

　企業や自治体の中には、「ISMS」を取得していない企業との取引を行わないというケースも増えてきていると聞きます。今後企業がスムーズに他社と取引を行うためには「ISMS」の取得が必須となる時代がやってくるかもしれません。

以上、Dr.QがITサプリメントをお届けしました。
次回は「ISMSが提唱するPDCAモデル」に関してお話します。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。