情報セキュリティマネジメント(ISMS)適合性評価制度 趣旨説明

平成13年1月26日
（財）日本情報処理開発協会
情報セキュリティ対策室

1. 経済産業省の安対制度改革
   情報セキュリティ管理に関する国際的なスタンダードの導入及び情報処理サービス業 情報システム安全対策実施事業所認定制度(以下「安対制度」と呼ぶ)の改革について(平成12年7月31日)公表され、 安対制度は平成13年3月31日をもって廃止される。 これに伴い、ISMS 適合性評価制度を導入する。

   　

2. 国際的なセキュリティ管理に関する標準化動向を勘案
   　ISO/IEC TR13335(GMITS: Guidelines for the Management of IT Security)や国際標準 ISO/IEC 17799(Code of practice for information security management)等の国際的な標準 を踏まえた人間系の管理技術を取りまとめ、わかりやすく実用的なセキュリティポリシィ 策定のガイドラインを示すこととしている。

3. 国際的に信頼される情報セキュリティ評価制度の確立
   　我が国の情報セキュリティレベル全体の向上とともに、 将来的には国際的に整合性のとれた情報セキュリティに対する第三者適合性評価制度を確立する。適合性評価制度については、 国際的な流れである民間評価を導入する。

   　

4. 適合性評価制度の対象範囲
   　本制度の対象範囲は、情報処理サービス業を営む者^※ を対象とするが、 将来的にはニーズに応じて情報処理サービス業以外の分野の事業者にも適用を検討する。

5. 適合性評価制度の審査基準
   　従来の安対制度では、設備等の物理的な対策に比較的重点を置いた審査基準であったが、 本制度においては、設備・運用をバランスよく盛り込むとともに、 セキュリティマネジメントの側面を付加した審査基準となる。 審査基準は、JIS 制定及びその周知状況を踏まえて、 より時代に適合したものにするために見直し、改定していくものとする。

※:	「情報処理サービス業」とは、他人の需要に応じてする情報処理を行う事業をいい (情報処理の促進に関する法律：昭和45.5.22 法律 90 号)、 電子計算機を用いて計算を行う事業および検索を行う事業等が該当する。