TOP
>
プロジェクト管理
> ISMS適合性評価制度とは
ISMSからみる情報セキュリティ対策
第2回:プライバシーマークとISMSの違い
著者:
みずほ情報総研 青木 淳
2005/9/15
前のページ
1
2
3
4
次のページ
ISMS適合性評価制度とは
ISMS適合性評価制度は、技術的なセキュリティのほかに人間系の運用・管理面をバランスよく取り込み、時代のニーズに合わせた新しい制度として創設された。
組織の情報セキュリティマネジメントを確立することを目指した制度で、国際的に整合性の取れた認証基準を採用しており、自国の情報セキュリティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的としている。
また、第三者機関(審査登録機関)が組織の情報セキュリティマネジメントシステムを評価して、基準をクリアした組織に認証を与える制度である。
2002年4月
日本における認証基準として、(財)日本情報処理開発協会(JIPDEC)が「ISMS認証基準Ver.1.0」を制定
2003年4月
「ISMS認証基準Ver.2.0」を制定
表2:ISMS年表
ISMSとは、Information Security Management Systemの略であり、認証基準は、英国規格BS7799-2:2002に基づき作成したものである。本基準で使用する用語・表現については、JIS X 5080:2002(国際規格 ISO/IEC 17799-2:2002)との互換性を確保している。
BS7799-2:2002(BS7799パート2の2002年版)に基づいて作成
情報セキュリティマネジメントの仕様
JIS X 5080:2002(JIS X 5080の2002年版)を参照
情報セキュリティマネジメントのための規範(指針)を示したもの
表3:情報セキュリティマネジメントとの互換性
制度の運用体制
ISMSの運用体制については、以下のようになっている。
認定機関
財団法人日本情報処理開発協会(JIPDEC)
審査登録機関
認定機関に「審査登録機関」として認定を受けた機関
ISMS審査員
ISMS適合性評価制度運営委員会
評価希望事業者相談窓
認定機関内に設置。意見・苦情などへの対応
表4:ISMSの運用体制
認証の対象範囲など
認証の対象範囲・単位・認定マークを使用できる場所については、以下のようになっており、プライバシーマーク制度と比較して、選択の範囲が広くなっている。
対象
すべての業種・業務分野(情報技術関連の業種に限らない)
単位
適用範囲は事業者が決定(事業所、部分的な組織・部門、全社が可能)
使用箇所
広告構造物(車輌・看板など)、宣伝・広告用資料、ホームページ、封筒、便箋、名刺など
表5:ISMSの対象範囲
認証取得の要件
認証の有効期限は3年で、登録有効期限を更新することとなっている。また、ISMS認証取得の要件としては、次の2点である。
貴社が構築する情報セキュリティマネジメントシステムが認証基準に適合していること
組織が自らの事業の活動全般及びリスク全般を考慮し、文書化された情報セキュリティマネジメントシステムを構築・導入・維持し、かつこれを継続的に改善すること(図2)
表6:取得要件
図3:ISMSにおけるPDCAサイクル
前のページ
1
2
3
4
次のページ
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
INDEX
第2回:プライバシーマークとISMSの違い
はじめに
ISMS適合性評価制度とは
ISMSの構築手順
情報セキュリティに関するマネジメントシステムを計画的に構築できる
