TOPプロジェクト管理> ISMSの構築手順
ISMSからみる情報セキュリティ対策
ISMSからみる情報セキュリティ対策

第2回:プライバシーマークとISMSの違い
 著者:みずほ情報総研  青木 淳   2005/9/15
前のページ  1  2  3   4  次のページ
ISMSの構築手順

   ISMSの構築手順は図3の通りである。プライバシーマークのCP同様に、構築には多くのステップが必要になる。また、構築にあたっては文書作成が必要となるが、基本的な要求事項のほかに、附属書の詳細管理策で要求されるものもあり、必要に応じて作成する必要がある。詳細管理策の概要については表7を参照。
ISMSの構築手順
図4:ISMSの構築手順
(画像をクリックすると別ウィンドウに拡大図を表示します)
情報セキュリティ基本方針
  • 情報セキュリティポリシー(基本方針)は経営陣によって承認され、全関係者に公表されること
  • また定期的及び必要に応じて見直されること

組織のセキュリティ
  • 経営陣の参加による情報セキュリティ委員会を設置し、適切な責任分担を行うこと
  • 第三者(外部委託先含む)から情報資産を保護すること

資産の分類及び管理
  • 情報資産台帳(目録)を作成・管理すること
  • 情報資産を重要性により分類し、適切な取扱手順を定めること

人的セキュリティ
  • 情報セキュリティを職責に含めるとともに違反者は正式な懲戒プロセスに従って処置すること
  • 情報セキュリティに関する教育・訓練を行うこと

物理的及び環境的セキュリティ
  • 情報処理施設を物理的に保護し、適切な入退管理を行うこと
  • 情報処理装置を環境上の脅威から保護すること
  • クリアデスク、クリアスクリーンを実施すること

通信及び運用管理
  • 操作手順を文書化すること
  • セキュリティ事故に対する責任体制及び手順を定めること
  • 不正なソフトウェア(ウィルスを含む)から情報資産を保護すること
  • ネットワーク・システム・媒体などを適切に管理すること

アクセス制御
  • アクセス制御について、方針を文書化すること
  • 利用者のアクセス権を適切に管理すること
  • 利用者はパスワードを適切に管理すること

システムの開発及び保守
  • 情報システムの導入・変更を行う場合にはセキュリティ要求事項を明確にすること
  • 必要に応じて暗号化などのセキュリティ対策を行うこと

事業継続管理
  • 事業継続に取り組むため管理手続きを整備すること
  • 事業継続計画を作成し、定期的に見直すこと

適合性
  • 各情報システムについて、全ての関連法規・契約上の要求事項を文書化すること
  • 個人情報を保護すること
  • 手続きが、情報セキュリティポリシー(基本方針)に適合していることを定期的に見直すこと

表7:詳細管理策の概要
プライバシーマークとISMSの違い

   これまで見てきたように、プライバシーマークとISMSには共通点がある。それはどちらの制度も、セキュリティに対するマネジメントシステム(プライバシーマークではCP)を構築し、運用していくという点である。このような第三者認定の制度の活用することによって、情報セキュリティの対応が企業にとって場当たり的なものにならず、継続的に実施して向上するメリットが生まれる。

   しかしながら、ISMSとプライバシーマークには当然違いがあり、それをどのように活用していくかは、それぞれの企業によって異なるので、ここではその違いについて触れてみたい。

   まず、基本的な違いは表8の通りである。一番の違いは、認証取得の対象となる資産が個人情報と情報資産の全体となる点である。プライバシーマークはJIS Q 15001をベースとしているので個人情報資産を対象とし、その取り扱い、入手経路から本人の苦情相談などのきめ細かな体制の構築が要求される。

  ISMS プライバシーマーク
対象資産 情報資産 個人情報
適用対象範囲 取得先企業で選択(全社、支社、部門、サービスなど) 基本的に事業者単位(一部例外あり)
有効期限 3年 2年
認証取得数 1,190社 1,014社

表8:IMSとプライバシーマークの違い
   一方、ISMSの対象は情報資産すべてとしており、それを機密性、完全性、可用性の観点から適切保護するマネジメントシステムを構築することとなっている。個人情報については、プライバシーマークのようにきめ細かい指定まではないが、認証基準の詳細管理策の中に、「12.1.4データの保護及び個人情報の保護」という項目があるので、個人情報についても適切に対応する必要がある。

   2番目の違いは認証取得の範囲である。プライバシーマークは基本的に全社での取得となるので、個人情報の取り扱いについては全社単位で徹底する必要がある。一方、ISMSはその認証取得範囲は企業側で設定できるので、お金と時間と人手がかかる情報セキュリティ対策を、少しずつ実施していくことができる。

   そのほかに、有効期限の違いやプライバシーマーク制度には取り消し措置もあり、開示・訂正・削除に応じない、漏えい・紛失などによって、第三者に目的外利用されてしまうなど、情報主体(本人)に不利益を起こした際には、マーク利用が取り消され、2年間再申請できなくなってしまう可能性もあることに注意したい。

   上記の内容を踏まえ、それぞれの認証取得のメリット、デメリットについて考えてみたい。

前のページ  1  2  3   4  次のページ

みずほ情報総研株式会社 青木 淳<
 著者プロフィール
みずほ情報総研株式会社  青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
INDEX
第2回:プライバシーマークとISMSの違い
  はじめに
  ISMS適合性評価制度とは
ISMSの構築手順
  情報セキュリティに関するマネジメントシステムを計画的に構築できる