情報セキュリティマネジメントシステム(ISMS)適合性評価制度の概要2007年12月21日 1. ISMS適合性評価制度の創設我が国では情報処理サービス業のコンピュータシステムが十分な安全対策を実施しているかどうかを認定する制度として、昭和56年7月20日通商産業省告 示342号による「情報システム安全対策実施事業所認定制度」(以下、安対制度という)があった。安対制度では、集中管理されていた情報システムの施設・ 設備等の物理的な対策に比較的重点がおかれていたが、技術的対策だけでなく人的セキュリティ対策を含む組織全体のマネジメントを確立する必要性がでてきた。こうした状況を受けて、経済産業省では「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事 業所認定制度の改革(平成12年7月31日)」を公表するとともに、従来の安対制度を平成13年3月31日をもって廃止することを決定した。 この安対制度の廃止に伴い、技術的なセキュリティのほかに、人間系の運用・管理面をバランス良く取り込み、時代のニーズに合わせた新しい制度として、情 報セキュリティマネジメントシステム(Information Security Management System:以下、ISMSという)適合性評価制度を創設することとなった。
2. ISMS適合性評価制度の目的インターネットの急速な普及を背景に、わが国においても電子政府実現に関連する法規の整備、技術的な検証、情報通信インフラの整備等を積極的に推進しているところである。しかしながら、その一方では、セキュリティ対策の不備に起因する機密情報や個人情報の外部への漏洩、コンピュータウイルス、不正アクセス行為やシステムダウンによる事業の中断などさまざまなセキュリティ事故などが相次いでいる状況である。 こうした情報セキュリティへの意識が高まる中で、組織として情報セキュリティマネジメントを確立するためには、技術的なセキュリティ対策と組織全体のマネ ジメントの両面から取り組む必要がある。 ISMS適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントに対する第三者適合性評価制度であり、本制度は、わが国の情報セキュリ ティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的としたものである。
3. ISMS適合性評価制度における認証基準ISMSの認証基準JIS Q 27001:2006(ISO/IEC 27001:2005)は、ISMS適合性評価制度において、第三者である認証機関が本制度の認証を希望する組織の適合性を評価するための基準である。・ISO/IEC 27001:2005(Information technology −Security techniques−Information security management systems−Requirements:情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項)は、組織がISMSを構築するための要求事項をまとめた国際規格である。
4. ISMS適合性評価制度の対象範囲ISMS適合性評価制度のパイロット事業(平成13年度事業)では、対象範囲を主として情報技術関連分野(情報処理サービス業を含む)としていたが、平成14年4月の本格運用からはこの制限を外し、全ての業種・業務分野を対象範囲とした。適用する業種・業務区分は、ISO 9000sやISO 14000s等のマネジメントシステムとの整合性を確保するため、「経済活動に関する統計的分類基準」(NACE Rev.1)に基づく業種分類を適用する。 評価希望組織(ISMS認証取得を希望する組織)は、原則として適用範囲を考慮した業種・業務区分で申請し、最終的な業種については認証機関と の調整が必要である。ISMSは、情報技術関連の業種だけでなく、全ての業種を対象に情報セキュリティに関するマネジメントシステムの認証を行うことが可 能であるが、情報の管理は業務に密着しており、情報資産の洗い出しやリスクアセスメント等に関して審査するにはその分野の専門性が必要である。
5. ISMS適合性評価制度の運用ISMS適合性評価制度は、組織が構築したISMSがJIS Q 27001(ISO/IEC 27001)に適合しているか審査し登録する「認証機関」、審査員の資格を付与する「要員認証機関」、及びこれら各機関がその業務を行う能力を備えているかをみる「認定機関」からなる総合的な仕組みである。なお、審査員になるために必要な研修を実施する「審査員研修機関」は要員認証機関が承認する。
| |||||