ISMSとは
すでに、ITシステムやネットワークは社会インフラとして不可欠なものとなっているが、一方で標的型攻撃やランサムウェアなどによる被害・影響も多発している。こうした中、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっている。
ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。
情報セキュリティーの3要素
ISMSでは、情報セキュリティの主な3要素について次のように定義している。
注記:真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある。
※エンティティは、“実体”、“主体”などともいう。情報セキュリティの文脈においては、情報を使用する組織及び人、情報を扱う設備、ソフトウェア及び物理的媒体などを意味する。
(JIS Q 27000:2014より引用)
情報セキュリティーとは
企業や組織には、重要な営業機密に関する情報や、顧客、社員などの個人情報など、多くの情報が保管されています。また、企業や組織のシステムに不具合が生じ、サービスが停止してしまうことで、社会的に大きな影響を与えてしまう場合もあります。情報通信技術が発達した社会においては、企業や組織が適切な情報セキュリティ対策を取ることは、当然の責務であるといえます。
企業や組織においては、情報管理担当者だけでなく、一人ひとりの利用者が情報セキュリティに対する適切な知識を持つことを要求されます。特にネットワークに接続された環境下では、たった1台のコンピュータのウイルス対策を怠るだけで、広範囲にウイルスが蔓延し、大きな損害が発生する可能性もあります。
業務でコンピュータを利用している場合には、そこに保管されている大切なデータが、消失・損壊することなく確実に保管されていることの保証も必要です。そのためには、機器に対する停電や落雷、地震などへの対策が要求されるとともに、定期的なデータのバックアップも行われていなければなりません。
さらに、情報セキュリティポリシーの策定、組織内の利用者の認証設定、組織内の利用者への情報セキュリティ教育、不正侵入やハッキングへの対策など、情報管理にはさまざまな情報セキュリティ対策が要求されます。(総務省 HPからの抜粋)
当社の情報セキュリティについて
情報技術分野で事業を行う当社は、高品質の施工及びサービスを顧客に継続して提供することが社会的責任を果たすことと認識し、情報セキュリティに対する基本方針と管理体制を以下に示す。