情報セキュリティマネジメントシステムの形骸化に関する考察
―認証審査の視点から―

○中山 幸雄1)藤田 昌克2)津田 和彦1)

1) 筑波大学
2) 帝京大学

Abstract 情報セキュリティは、情報の機密性、完全性及び可用性を維持することである。その仕組みとして、国際標準であるISO/IEC27001に適合した情報セキュリティマネジメントシステム(ISMS)を構築して運用している企業が多い。一方で仕組みが構築され認証されても、形骸化していることがある。その理由として運用が定着しない、リスクアセスメントが有効に行われない、インシデントが減らない等がある。このことより、ISMSの有効性が課題になる。筆者らは、ISMSの形骸化をISMS認証における指摘の傾向から分析し、形骸化防止に寄与する知識基盤を構築することを目的に考察を行う。
Information security is to maintain confidentiality of the information, integrity and availability. There are many companies which I build an information security management system (ISMS) which adapted to ISO/IEC27001 of the international standard as the organization, and apply it. On the other hand, it may become a dead letter even if structure is built and is accepted. As a reason, application has been established, Risk assessment is not carried out effectively, Incidents do not decrease. The effectiveness of ISMS becomes the problem. The Authors of ISMS analyze losing substance from a tendency of the indication in the ISMS certification. And I consider it for the purpose of building a knowledge base contributing to prevention to lack in substance.
Keywords 情報セキュリティマネジメントシステム(ISMS),形骸化,ISO/IEC27001
Information Security Management System(ISMS),Losing substance,ISO/IEC27001
前に戻る