sg security-management isms guideline
ISMSユーザーズガイド
まず結論
ISMSユーザーズガイドは、
ISMS認証基準の要求事項について、その意味するところを説明するためのガイドです。
SG試験では、細かい規格番号を暗記するよりも、
「ISMSを理解し、運用するために、要求事項の意味を説明する資料」
と押さえるのが大切です。
作成元としては、JIPDEC と結び付けて覚えます。
直感的な説明
ISMSユーザーズガイドは、簡単にいうと、
ISMSの要求事項を読み解くための解説書
です。
ISMSでは、情報セキュリティを組織として管理するために、 リスクアセスメント、対策の実施、継続的改善などを行います。
ただし、認証基準の文章だけを読むと、
- 何を求められているのか
- どこまで対応すればよいのか
- どのように理解すればよいのか
が分かりにくいことがあります。
そこで、ISMSユーザーズガイドは、
要求事項の意味を理解しやすくするための資料として使われます。
定義・仕組み
ISMSユーザーズガイドは、ISMS認証基準の要求事項について、一定の範囲でその意味するところを説明しているガイドです。
ここでいうISMSとは、
Information Security Management System の略で、
情報セキュリティマネジメントシステムを意味します。
ISMSは、単発のセキュリティ対策ではありません。
組織として、
- 情報資産を把握する
- リスクを評価する
- 必要な対策を決める
- 対策を実施する
- 継続的に見直す
という流れで、情報セキュリティを管理していく仕組みです。
ISMSユーザーズガイドは、このようなISMSの考え方や要求事項を理解するために使われます。
どんな場面で使う?
ISMSユーザーズガイドは、次のような場面で関係します。
ISMS認証を取得・維持したいとき
組織がISMS認証を取得したり、維持したりするためには、 認証基準で求められている内容を理解する必要があります。
その理解を助ける資料として使われます。
ISMSの要求事項を確認したいとき
認証基準の文章だけでは分かりにくい場合に、 要求事項の意味を確認するために使われます。
情報セキュリティ管理の考え方を整理したいとき
ISMSは、技術対策だけではなく、 組織全体で情報セキュリティを管理する仕組みです。
そのため、管理体制や継続的改善の考え方を整理するときにも関係します。
よくある誤解・混同
誤解1:ISMSユーザーズガイドは、CSIRTを作るための資料である
これは違います。
CSIRTの構築・運用を支援する資料は、CSIRTマテリアルです。
ISMSユーザーズガイドは、CSIRT体制そのものではなく、
ISMS認証基準の要求事項の意味を説明する資料です。
誤解2:ISMSユーザーズガイドは、証拠保全の手順を説明する資料である
これも違います。
電磁的証拠の保全に関する資料は、証拠保全ガイドラインです。
ISMSユーザーズガイドは、証拠の取得や保管手順ではなく、
ISMSの要求事項を理解するためのガイドです。
誤解3:ISMSは技術対策だけを決める仕組みである
ISMSは、ファイアウォールや暗号化などの技術対策だけを扱うものではありません。
情報資産、リスク、ルール、教育、監査、改善などを含めて、
組織全体で情報セキュリティを管理する仕組みです。
SG試験では、ISMSを「技術対策だけ」と考えると選択肢で迷いやすくなります。
試験での切り分けポイント
SG試験では、ガイドライン名と役割をセットで切り分けることが大切です。
| 用語 | 見分けるポイント |
|---|---|
| ISMSユーザーズガイド | ISMS認証基準の要求事項の意味を説明 |
| CSIRTマテリアル | 組織内CSIRTの構築・運用を支援 |
| 証拠保全ガイドライン | 電磁的証拠の保全手続き |
| 組織における内部不正防止ガイドライン | 内部不正の防止・早期発見・拡大防止 |
特に、問題文に
ISMS認証基準
要求事項
意味するところを説明
と出てきたら、ISMSユーザーズガイドを選ぶ可能性が高いです。
まとめ(試験直前用)
ISMSユーザーズガイドは、
- ISMS認証基準の要求事項を説明する資料
- ISMSを理解し、運用するためのガイド
- 作成元はJIPDEC
と押さえましょう。
試験では、
ISMSユーザーズガイド = ISMS要求事項の意味を説明
CSIRTマテリアル = インシデント対応体制の構築支援
証拠保全ガイドライン = 電磁的証拠を正しく残す
と切り分けると、選択肢を判断しやすくなります。
公式リンク
より詳しく確認したい場合は、以下の公式情報も参考になります。