情報セキュリティマネジメントシステム ISMS

弊社は小さい会社ですが、個人情報を扱っており、
社内的にその扱い方の業務や統制を見直したいと考えております。

その中で「ISMS」というキーワードが出てきたのですが、
これは「ISO27001」という「資格」のことなのでしょうか？。

それともITILのようなガイドライン、または活動の模範のようなものでしょうか？。

ご教授頂ければ助かります。

No.3 ベストアンサー 回答者： isoworld 回答日時： 2014/04/28 07:49

　「ISMS自体をはじめるにあたり、ガイドラインやチェックリストはあるのでしょうか・・？」ですが、大きな書店でJIS Q 27001のハンドブックを買い、その中に書かれている「管理策」をご覧ください。

　見方によってはこれがチェックリストになります。

この回答へのお礼

有難うございました。
先ずはこちらをベースに現状のたな卸しをしたいと思います。

お礼日時：2014/04/29 13:29

No.2 回答者： isoworld 回答日時： 2014/04/21 17:42

　回答No.1のとおり、情報セキュリティマネジメントシステムの国際規格のことです。

JISでも同じ番号の規格（JIS Q 27001）が出ており、これはISO規格の（言わば）日本語翻訳版です。ごく最近改訂され、2014版が最新版です。

　この規格で求められた事項（要求事項）を完全に満たすように社内の情報管理の仕組みを整備して運用実績を上げ、審査を受ければ（それで問題なければ）認証取得できます（有料です）。認証取得は「当社は情報セキュリティマネジメントシステムがしっかりできていて管理され安心できますよ」という対外的な証明になるわけです。

　とくに「管理策」と呼ばれる情報セキュリティに不可欠な実施事項（１００数十ある）が出来れば、とりあえずＯＫです。

この回答へのお礼

有難うございます。

実は今回はまさに「社内の情報管理の仕組みを整備」から始まっておりまして、
どう整備すればISMS（仕組み）と言えるのか、から検討しています。

ISMS自体をはじめるにあたり、ガイドラインやチェックリストはあるのでしょうか・・？。

お礼日時：2014/04/28 00:47

No.1 回答者： kuma8ro 回答日時： 2014/04/21 07:51

ISO27001は、企業の情報セキュリティ全般の取扱に関し、企業全体としてのしくみ（ISMS）を作り、それを正しく運用し、必要に応じて改善することを求める規格です。

規格に適合していることを確認してもらうことや、そのための助言をもらうことを、認証機関に求めることが出来ます。
企業のトップが積極的に参加することを求める一方で、本社支社単位や、事業部門別に取得することや、ISMSをゆるめに構築することも許容しています。
個人情報も、情報セキュリティの最重要な要素ですが、ISO27001では、個人情報保護に特化した要求事項はほとんど有りません。
しくみ全体として、企業間取引を主体とした中規模（数百人）以上の企業に向いているように思います。

個人情報に特化した認証制度としては、プライバシーマークが最も知られており、多くの企業が取得しています。
（ISO27001：4493社、プライバシーマーク：13575社）
こちらの方が良さそうに思います。
（私自身は、Pマークの実務経験は無いので、これ以上のことはお伝え出来ませんが。）

参考URL：http://www.iso27001.jp/blog/iso27001isms/2799/

この回答へのお礼

有難うございます。

今回の悩みとしては「企業全体としての仕組み（ISMS）」が何か、
ということから始まっております。

どう仕組みを構築すれば、要求を満たせるのか・・

何か標準などがあるのでしょうか。

お礼日時：2014/04/28 00:44