sg sg-security-management isms risk_assessment it_security_operations
まず結論
ISMSとは、情報セキュリティ管理を体系的に行うための国際規格に基づく仕組みです。
SG試験では「PDCAで継続的に管理されているか」を判断させる問題として問われます。
直感的な説明
前の記事の「情報セキュリティ管理」は、
👉「組織で守る仕組み」でした。
ISMSはその“型(テンプレ)”です。
- 何を決めるべきか
- どう運用するべきか
- どう改善するべきか
これをバラバラに考えるのではなく、
👉 国際ルールとして整理したものがISMS
つまり
「ちゃんとしたやり方で管理していますよ」と示せる状態です。
定義・仕組み
ISMS(Information Security Management System)は
情報セキュリティを組織的・継続的に管理するための仕組み(JIS Q 27001 などで規定)
です。
① 国際規格に基づく
- JIS Q 27001(ISO/IEC 27001)が代表
- 世界共通のルール
👉 「やり方が標準化されている」のがポイント
② PDCAサイクルで運用
ISMSの本質はここです。
- Plan(設定):方針・ルールを決める
- Do(運用):ルールに従って実行
- Check(見直し):監査・評価
- Act(改善):再発防止・改善
👉 回し続けることが前提
③ 組織全体で管理する
- トップダウン(経営層の関与)
- 役割と責任の明確化
- 教育・周知の徹底
👉 IT部門だけでは成立しない
④ 認証制度がある
- 第三者機関による審査
- 適合していれば「ISMS認証」を取得
👉 信頼性向上・リスク低減につながる
どんな場面で使う?
使うべき場面
- 組織全体でセキュリティを強化したいとき
- 取引先に「ちゃんと管理している」と示したいとき
- 内部統制や監査を強化したいとき
👉 SG試験では
「ISMSに沿った運用か」が問われる
誤解しやすい場面
- 認証を取れば安全になる → ❌
- 一度取得すれば終わり → ❌
👉 運用し続けて初めて意味がある
よくある誤解・混同
❌ 誤解①:ISMS=認証
- ISMS:仕組みそのもの
- 認証:その仕組みが適合している証明
👉 認証は結果であって本体ではない
❌ 誤解②:ISMS=セキュリティ対策
- 対策:個別の技術
- ISMS:管理の仕組み
👉 「FW導入=ISMS対応」は誤り
❌ 誤解③:PDCAの一部だけやればよい
- Planだけある → ❌
- Checkしていない → ❌
👉 4つ全部が回っている必要がある
SG試験でのひっかけ
- 「ルールはあるが見直していない」→ ❌
- 「監査しているが改善していない」→ ❌
- 「現場任せで経営層が関与していない」→ ❌
👉 “継続的改善”と“組織全体”がキーワード
まとめ(試験直前用)
- ISMS=情報セキュリティ管理の標準的な仕組み
- ISO/IEC 27001(JIS Q 27001)に基づく
- PDCAを回し続けることが本質
- 認証はゴールではなく「運用できている証明」
👉 SG試験では
「PDCAが回っているか」「組織全体で運用しているか」で判断する
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】