TOPプロジェクト管理> はじめに
ISMSからみる情報セキュリティ対策
ISMSからみる情報セキュリティ対策

第7回:ISMS認証規格の動向と関連法令等の対応
著者:みずほ情報総研  青木 淳   2005/11/28
1   2  3  4  次のページ
はじめに

   今回から次回にわたり、ISMS認証規格の今後の動向と今後企業での対応が検討されると想定されるITIL、SOX法と関連について解説する。
ISMSのISO化と規格の変更点

   日本情報処理学会(JIPDEC:http://www.isms.jipdec.jp/ISO27001.html)のサイトでも明らかになったように、ISMS認証の国際規格がISO/IEC 27001として2005年10月14日に発行され、さらにJIS Q 27001として発行される見込みである。

   これによりISMS認証基準(Ver.2.0)は、ISO/IEC 27001(JIS Q 27001)に移行することになる。ISMSからJIS Q 27001への移行については次項で説明するので、まずはISO/IEC 27000関連規格の説明をする。


ISO/IEC 27000シリーズの全体像

   ISO/IEC 27001は英国のBS77990-2の規格をベースとして、2005年10月14日に発行された。一方、情報セキュリティマネジメントの実践のための規範の国際規格であるISO/IEC17799:2000は、2005年6月に改定されてISO/IEC 17799:2005として発行された。

   本規格は最終的に規格の番号をISO/IEC 27002と変更され、ISO/IEC 27000シリーズに統合される予定である。しかしながらユーザの混乱を招く恐れがあるので、実際の変更はまだ先になる予定である。

   そのほかのリスクマネジメントとしてISO/IEC 27003、管理策の測定としてISO/IEC 27004、導入ガイドとしてISO/IEC 27005が導入される。ただしこれは現在開発中であり、詳細まではまだわかっていない。ISO27000シリーズの全体像を図1に示す。

ISO27000シリーズ
図1:ISO27000シリーズ


ISO/IEC 27001の概要

   ここではISO/IEC 27001の内容について、BS7799-2:2002およびISMS認証基準Ver.2.0との違いを中心に確認を行う。基本的な構造や用語などについては、BS7799-2:2002およびISMS認証基準 Ver.2.0とほぼ同様であるが、章の構成は変更されている(図2)。

ISO/IEC 27001の構成
図2:ISO/IEC 27001の構成
(画像をクリックすると別ウィンドウに拡大図を表示します)

   章の構成変更としては、「内部監査」が旧5章から独立して6章に、「マネジメントレビュー」が7章に、そして「改善」が8章になった。また、「付属書A:管理目的及び管理策」に規定する詳細管理策が、6月に発行されたISO/IEC17799:2005に規定された133の管理策に合わせて改定されている。


ISO/IEC 27001の変更点

   BS7799-2:2002およびISMS認証基準 Ver.2.0からの変更点は以下の通りである。


管理策の効果測定

   「ISMSの導入及び運用」「ISMSの監視及び見直し」において、管理策の有効性の効果測定に関する要求事項が加わり、「文書化に関する要求事項」にそれに関する文書化された手順が要求され、さらに「マネジメントレビュー」のインプット項目にその測定結果、アウトプット項目にその測定方法の改善が加わった。

4.2.2 d
選択した管理策または管理策一式の有効性を測定する方法について規定する。また、比較可能で再現可能な結果をだすために、管理策の有効性を評価するのにこの方法をどのように利用すべきかを特定する。
4.2.3 c
セキュリティ要求事項が満たされていることを検証するために、管理策の有効性を測定する。
4.3.1 g
情報セキュリティに関するプロセスの効果的な計画、運用および管理を確実に実施するため、また管理策の有効性を測定する方法を説明するために、組織が必要と判断した、文書化された手順。
7.2 f
有効性の測定結果。
7.3 g
管理策の有効性を測定する方法の改善。

表1:管理策の効果測定

1   2  3  4  次のページ


みずほ情報総研株式会社 青木 淳
著者プロフィール
みずほ情報総研株式会社  青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。


INDEX
第7回:ISMS認証規格の動向と関連法令等の対応
はじめに
  リスクアセスメントに関する変更
  ISO/IEC 17799:2005(27002)の変更点
  A11 アクセス制御