📌 結論から理解する
ISMSは「情報セキュリティを仕組みで守る国際規格」
ISMS(Information Security Management System)=情報セキュリティを組織的に管理するための仕組み(マネジメントシステム)。
ISO/IEC 27001が国際規格。日本ではJIS Q 27001として制定されています。
「ISMSとは何か」「PDCAの各フェーズで何をするか」が頻出問題です。
PDCAサイクル
ISMSのPDCAサイクル
📋
P:Plan(計画)
- リスクアセスメント
- セキュリティ目標の設定
- 対策の選択・計画
- 情報セキュリティポリシー策定
⚙️
D:Do(実行)
- 対策の導入・運用
- 教育・訓練の実施
- 手順書の整備・適用
- インシデント対応
🔍
C:Check(評価)
- 監査の実施
- 有効性の評価
- 目標との比較
- 経営層によるレビュー
🔄
A:Act(改善)
- 不適合への是正措置
- 継続的な改善
- 次のPlanへ反映
PDCAは一度回したら終わりではなく、継続的に繰り返すことが重要。
PDCAサイクルの流れ(循環図)
PDCAは繰り返すことで継続的に改善する
📋
P
Plan(計画)
目標設定・対策計画
⚙️
D
Do(実行)
対策導入・運用
↑
継続的改善
↓
🔄
A
Act(改善)
是正・次Planへ
🔍
C
Check(評価)
監査・有効性確認
← P→D
(時計回り)
C→A →
試験では「PDCAのC(Check)で行うことは?」→ 監査・有効性評価。「A(Act)は?」→ 是正と改善、次のPlanへ反映。
ISMSの適用範囲
- 組織全体でも、特定の事業部・拠点だけでも認証取得可能
- 適用範囲を明確に定義することが必要
- 取引先からISMS認証を求められることもある(信頼の証明)
プライバシーマーク(Pマーク)との違い
| 比較 | ISMS認証 | プライバシーマーク |
|---|---|---|
| 対象 | 情報セキュリティ全般 | 個人情報の取り扱い |
| 根拠規格 | ISO/IEC 27001 | JIS Q 15001 |
| 認証機関 | 認定審査機関 | JIPDEC |
| 適用範囲 | 組織の一部でも可 | 組織全体が対象 |
🧠 確認クイズ
Q1. ISMSの国際規格として正しいのは?
Q2. PDCAのC(Check)フェーズで行うことは?
Q3. プライバシーマーク(Pマーク)がISMSと異なる点として正しいのは?