ISMS適合性評価制度とISO/IEC27001
1 ISMSとは
ISMSとは、情報セキュリティマネジメントシステムの略である。
個別のセキュリティ対策のほかに、組織のマネジメントとして、
自らのリスク評価により必要なセキュリティレベルを決め、プランをもち、
資源配分をして、システムを運用することである。
情報を扱うことが企業経営の根幹である企業にとって、今後
セキュリティ管理をビジネス上の差別化ポイントとして、
企業経営するためには欠かせない制度である。
セキュリティをここでは、機密性、完全性、可用性の3点で表す。
機密性
コンフィデンシャリティ |
アクセスを許可されたものだけが、情報のアクセスできることを
確実にする |
完全性
インテグリティ |
情報および処理方法が正確であることおよび完全であることを
保持すること |
可用性
アベイラビリティ |
許可された利用者が、必要なときに情報および関連する資産に
アクセスできることを確実にすること |
国際標準
ISO/IEC 15408:「情報セキュリティ機能の評価基準」。評価する対象物
(コンピュータシステムやその構成要素である機器類)
のリスク分析を行い、対応状況を評価して安全度のランク付けをする。
ISO/IEC 17799:情報セキュリティマネジメントの実践基準
BS7799:英国におけるセキュリティサービス提供業者の認証制度。
BS7799は次の2部構成になっている。
Part1 情報セキュリティマネジメントのための実践規範
Part2 情報セキュリティマネジメントシステムの仕様。
ISO/IEC TR 13335(GMITS):ITセキュリティマネジメントシステムのため。
ITセキュリティに関するセキュリティポリシーの作成と管理サイクルを
概念的に示したガイドラインであり、セキュリティ管理対策を計画(Plan),
実行(Do),点検(Check),処置(Act)の管理サイクルによって体系づけている。
2 ISMS適合性評価制度とISO/IEC27001
ISMS適合性評価制度は、情報セキュリティマネジメントに対する第三者適合性評価制度である。
現在、組織のISMS認証審査に適用されているISMS認証基準(Ver.2.0)は、
ISMSの国際規格ISO/IEC 27001:2005の発行に伴い、ISO/IEC27001へ移行される。
ISMS認証基準の流れ。
2000年:国際標準ISO/IEC 17799:2000、JIS X 5080
(英国規格BS7799-2を参考にして、作成された)
2003年:ISMS認証基準(Ver 2.0)の発行
2006年4月から国際基準ISO/IEC27001による認証へ移行します。
ISO/IEC 27001:2005(情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項)
組織がISMSを構築するための要求事項をまとめた国際規格である。
3 ISMS導入の手順
ISMS認証基準では、組織の管理活動としてのプロセス(Plan,Do,Check,Act)
アプローチを重視しており、情報セキュリティへの要求事項をインプットとして、
期待通りに運営された情報セキュリティをアウトプットするようなプロセスで、
セキュリティ活動が行われることを推奨している。
ISMS認証基準は、情報セキュリティマネジメントシステムを評価するための
要求事項である。これに沿って、マネジメントの枠組みを作ることが第一歩である。
実施すべき管理策として、次のような詳細管理策がある。(ISMSver1.0より)
●セキュリティポリシー
●セキュリティ組織
●情報資産の分類および管理
●人的セキュリティ
●物理的および環境的セキュリティ
●通信および運用管理
●アクセス制御
●システムの開発およびメンテナンス
●事業継続管理
●準拠
マネジメントの枠組みを確立し、運用を行なった段階で、ISMS適合性評価の申請を行なう。
審査登録機関が審査をし、合格すれば登録することになる。
以上
トップページへもどる