ISMSに関するメモ。

ふと、ちょろちょろ調べる機会があったのでメモしておく。

ISMS(Information Security Management System)のことで、現在の国際規格(ISO)では:

• ISO/IEC 27002 (実践のための規範)
• ISO/IEC 27001 (仕様/第三者機関が評価するために使われる)

この通りとなっている。期限は英国規格であるBS 7799から来ており、これが後にパート1(ISO/IEC 27002の元)とパート2(ISO/IEC 27001)に別れたものが、ISOに取り込まれた。なおパート1は最初、ISO/IEC 17799として制定されたものが2007年にISO/IEC 27002と改称されている。

ISO/IEC 27001は情報セキュリティ対策活動のPDCAサイクルを運用し、マネジメントシステムの継続的な改善を要求している。

ISMSの要諦は

• 保護すべき「情報資産」とそれらに対する「脅威」と「脆弱性」, 「対策」をヒト(教育と訓練)と機械(ネットワークの制限や暗号化, ウィルススキャンなど), 物理(適切な強度の建物にマシンを設置するなど)の側面から明らかすること (Plan)
• 対策を実施し、状況をモニタすること (Do)
• モニタした結果を評価すること (Check)
• 評価の結果をうけて、改善を図ること (Action)

上記のPDCAサイクルを回していくことである。

またその前提として「情報資産」のライフサイクルを明らかにし、それを管理する「ILMS(Information Lifecycle Management System)」を確立しておく必要がある。

なぜならば「情報資産」のライフサイクルは:

• 発生
• 利用
• 保管
• 破棄

上記のフェイズから構成されており、各フェイズによって、その「価値」と「媒体」(例えばメモリ→ストレージ→外部保管媒体、など)が変わる。従っ て、それぞれのフェイズによって、「対策」(目的と手段)も変わるものだからである。

ボクの場合、もともとILM(Information Lifecycle Management)って概念は、ストレージ業界からよく聞いていたもの。ただ、どちらかというと「情報資産」のライフサイクルの各フェイズに合ったス トレージにデータを保存することでコストを最適化できますよ、という文脈が前面に出てて、セキュリティに関するお話は脇にあった記憶がある。

でも、こうしてISMSの概念の中に置くと、ピッタリはまってて、ちょっと驚いた。言われてみれば「当然そうなるよな」という感じなんだけど。

これからしばらくストレージ業界は「ISMS」を前面に出してILMソリューションを売り込んでくるのかしら。