ISMS適合性評価制度
財団法人日本情報処理開発協会(JIPDEC)により創設された「情報セキュリティマネジメントシステム (ISMS)適合性評価制度」は、「国際的に整合性のとれた情報システムのセキュリティ管理」に対する評価を実施することにより、国内の情報セキュリティレベルの全体的な向上を目指して運用を開始したものです。
ISMS認証基準は2005年10月にISO/IEC 27001:2005として国際規格化され、これと一致した国内規格JIS Q 27001:2006が2006年5月に発行されました。JIS Q 27001:2006では情報セキュリティマネジメントシステムを確立、導入、運用、監視、見直し、維持し、かつその有効性を改善する際に、PDCAサイクルを継続的に繰り返し、結果として組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することを奨励しています。
ISMS認証基準は2005年10月にISO/IEC 27001:2005として国際規格化され、これと一致した国内規格JIS Q 27001:2006が2006年5月に発行されました。JIS Q 27001:2006では情報セキュリティマネジメントシステムを確立、導入、運用、監視、見直し、維持し、かつその有効性を改善する際に、PDCAサイクルを継続的に繰り返し、結果として組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することを奨励しています。
■ ISO/IEC27001:2005(JIS Q 27001:2006)
「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」 組織がISMSを構築するための要求事項をまとめた国際規格
■ ISO/IEC27002:2005(JIS Q 27002:2006)
「情報技術-セキュリティ技術-情報セキュリティマネジメントの実践のための規範」 組織の情報セキュリティに責任を持つ人々に向けた効果的なISMSを実施するための規範(ベストプラクティス-最良の慣行)をまとめた国際規格
20-1 情報セキュリティマネジメントシステム(ISMS)とは
情報セキュリティマネジメントシステム(以下、ISMS)は、情報セキュリティに関わる個別の技術対策とは別に、企業のマネジメントとして、自らのリスク評価により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することをいいます。ISMSの主要コンセプトは、企業が保護すべき情報資産について、機密性、完全性、可用性を確保し、バランス良く維持、改善することです。
- 機密性の確保:情報資産を、正当な権利を持った人が使用できること
- 完全性の確保:情報資産を、常に正確で安全な状態に保つこと
- 可用性の確保:情報資産を、必要な時に使用できること
ISMSプロセスに適用するPDCAモデルの解釈
情報セキュリティに関連するプロセスに対し、「Plan-Do-Check-Act(PDCA)」モデルを適用することで、「利害関係者のセキュリティ要求事項および期待」をインプットに、これらの要求事項および期待を満たす情報セキュリティの成果(運用管理された情報セキュリティ)をアウトプットとして生み出すプロセスを継続的に改善していくこと。
〔出典: ISMS適合性評価制度の概要(JIPDEC)〕
20-2 ISMS適合性評価制度の概要
審査の流れ
ISMS適合性評価は、ISMS認証取得を希望する事業者の申請によって行われます。審査に際しては、「経済活動に関する統計的分類基準」(NACE Rev.1)に基づく業種・業務区分が適用されます。業種・業務区分は、原則としてISMS認証取得を希望する事業者が、ISMS適合性評価の適用範囲を考慮した業種・業務区分を申請します。ただし、現在の業種・業務区分は「情報技術関連分野(情報処理サービス業を含む)」および「それ以外」とされており、将来的に明確化される予定になっています。
審査は、JIPDECが認定した審査登録機関によって行われます。審査登録機関は2003年2月現在、(財)日本規格協会などを含む7つの団体および企業となっています。
審査は、JIPDECが認定した審査登録機関によって行われます。審査登録機関は2003年2月現在、(財)日本規格協会などを含む7つの団体および企業となっています。
ISMS認証を受けるための必要事項
| 登録申請 | 審査登録機関を選定し、審査登録機関との契約締結後、審査登録申請書類を提出 |
| 審査内容 | 予備審査(オプション)→初回審査(Stage1(文書審査)およびStage2(実地審査))の順に行われる
|
| 認証 および登録 | 初回審査の結果、ISMS認証登録が可能であると判断された場合、審査登録機関から登録証書が発行される (有効期間は3年間) |
| 維持審査 | 登録有効期間内で、年1~2回程度、マネジメントシステムの運用が維持され実効性をもっていることを確認する審査 |
| 更新審査 | 内容は初回審査における実地審査とほぼ同じで、登録有効期間が終わる3年ごとに実施される |
ISMS認証のポイント
ISMSの要求事項は、認証を希望する事業者において、情報セキュリティマネジメントの枠組みが確立されていることです。「マネジメントの枠組みの確立」とは、組織の必要性に基づき、管理目的や管理策の内容が明確にされることです。セキュリティマネジメントに対する必要性は組織によって異なり、経営方針、ITに対する事業の依存度、所有するIT環境、その他の要因を総合的に検討する必要があります。管理目的や管理策を明確にするため、以下のような事項について明確にし、文書化を行います。
■ 情報セキュリティポリシーの策定
情報セキュリティの基本方針書および規程類を作成します。情報セキュリティポリシーは、組織の経営陣が、内容を最終的に承認する必要があります。
■ ISMSの適用範囲の決定
企業全体で認証を受けるのか、事業部など企業の一部の組織で認証を受けるのか、というように、ISMSを適用する範囲を決定します。
■ リスク評価
適用範囲における情報資産について、リスクの洗い出しを行い、リスク評価を行います。社内にリスク評価のノウハウがない場合、外部専門家への委託も可能です。
■ リスクマネジメントの対象範囲の決定
リスク評価の結果を踏まえて、どのリスクをマネジメントするのかについて対象範囲を決定し、社内での認識を統一します。
■ 実施すべき目標と管理策の選択
リスクを低減するための管理策を、ISMS認証基準に基づいて検討します。管理策の選択に際しては、選択または非選択の理由を明確にする必要があります。
■ 適用宣言書の作成
選択した管理策および理由などを記述した、適用宣言書を作成します。