FAQ −よくある質問とその回答集−


FAQ1:制度一般(ISMS)

 
11.ISMS制度の概要及び特徴
12.ISMS制度と他の情報セキュリティ制度との関係
13.説明会・刊行物






11.ISMS制度の概要及び特徴

ISMS制度の目的:
Q1101.ISMS適合性評価制度の目的及び概要について教えて下さい。
A.ISMSに関してはパンフレット「ISMS適合性評価制度の概要」を参照して下さい。そこでは目的が以下のように述べられています。
「情報セキュリティマネジメントシステム(ISMS)適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントシステムに対する第三者適合性評価制度である。ISMS制度は、わが国の情報セキュリティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的としている。」
このパンフレットのPDF版は下記URLよりダウンロードできます。
http://www.isms.jipdec.jp/std/
 
ISMSの呼称と国際的な表現:
Q1102.ISMSは何と呼ぶのでしょうか。また、国際的に通用する表現でしょうか。
A.ISMSは情報セキュリティマネジメントシステム(Information Security Management System)の略称で、“アイ エス エム エス”と呼ばれています。国際的にも共通の表現であり、ISO/IEC 27000ファミリーで使用されています。
 
ISMS認証基準の国際規格化:
Q1103.認証基準の国際規格化(ISO化)及びJIS化の経緯を教えて下さい。
A.パンフレット「ISMS適合性評価制度の概要」の3項に、関連規格の制定経緯を説明していますので参照下さい。このパンフレットは下記URLよりダウンロードできます。
http://www.isms.jipdec.jp/std/
これによると、ISMS認証基準の基となった英国規格BS7799-2:2002はISO/IEC 27001:2005としてISO化され、これがJIS Q 27001としてJIS化されました。
一方、BS7799-1はISO/IEC 17799:2000としてISO化され、これがJIS X 5080:2002としてJIS化され、更にJIS Q 27002:2006と番号が変更になりました。
なお、JIS Q 27002は認証のための規格ではなくガイドとしての位置付けであり、JIS Q 27001で使用している用語、表現は、JIS Q 27002との互換性が確保されています。
 
認定対象機関と適合性評価機関の関係:
Q1104.ISMS制度における認定対象機関や適合性評価機関とは何を指すのでしょうか。
A.認定機関に対する要求事項を定めたISO/IEC 17011:2004では、認定の対象となり得る機関(認定対象機関)として適合性評価機関(conformity assessment body:CAB)の用語を使用しています。現在のISMS適合性評価制度では、適合性評価機関に該当するのは、認証機関及び要員認証機関です。
 
ISMS制度は公的な評価制度ですか、QMSとの共通点は:
Q1105.ISMS適合性評価制度は、第三者による評価制度という表現になっていますが、公的な評価制度でしょうか。また、QMSとの共通点は何ですか。
A.公的な制度とは、国が決めて運用している制度と解釈すれば、ISMS適合性評価制度は公的な制度ではなく、民間の評価制度として運用されています。
この制度の認定機関や認証機関に適用される規格は、QMS(ISO9001)の場合と同様、国際規格のISO/IEC 17011:2004、及びISO/IEC 17021:2006を採用していますので、国際的にも信頼される制度と言えます。
 
ISMS認証取得のメリット:
Q1106.ISMS認証を取得すると、具体的にどのようなメリットがあるのでしょうか。
A.ISMS認証を取得するメリットは、パンフレット「ISMS適合性評価制度の概要」の4項で説明しており、以下はその引用です。
なお、このパンフレットのPDF版は下記URLよりダウンロードできます。
http://www.isms.jipdec.jp/std/

ISMSを構築・運用するメリット:
1)技術面及び人間系の運用・管理面の総合的なセキュリティ対策が実現できる。
 −社員のスキル向上、責任の明確化、緊急事態の対処能力の向上など。
2)総合的マネジメントの視点から、効率的なセキュリティ対策が実施できる。
 −費用対効果を考えた資産管理、リスクマネジメントの定着など。
※上記の活動を継続することにより、セキュリティ意識の向上などの効果が期待される。
ISMS認証を取得するメリット:
1)対外的には、情報セキュリティの信頼性を確保できる。
 −顧客や取引先からのセキュリティに関する要求事項への適合など。
2)内部的には、事業競争力の強化につながる。
 −入札条件や電子商取引への参加の条件整備など。
 
ISMS認証取得の義務化:
Q1107.国や自治体において、入札条件等でISMSの認証取得(またはこれと同等とみなされるもの)を条件にしたケースがありますか。
A.ISMS認証は企業の自主判断により取得されます。ISMS認証取得を、プライバシーマーク等と併せて、入札の資格条件にしているケースが増えており、今後も、入札や取引上の条件として採用されていく傾向が続き、組織のセキュリティ 対策が強化されるものと予想されます。

入札条件では下記の様な例があります。(2010年10月現在公開されているものの一部)
☆厚生労働省労働局
http://www.mhlw.go.jp/sinsei/chotatu/chotatu/pdf/roudou_sys-1a.pdf
☆外務省
http://www.e-procurement.mofa.go.jp/kokuji/0000003595/tenpu/siyousho.pdf
☆中国四国農政局
http://www.maff.go.jp/chushi/nyusatsu/ekimu/pdf/101007-33notes.pdf
☆独立行政法人都市再生機構
http://www.ur-net.go.jp/order2/ur/pdf/ur2010ord_hon_buppin_1012.pdf
☆独立行政法人 労働政策研究・研修機構
http://www.jil.go.jp/information/nyusatsu/document/20101001.pdf
☆独立行政法人 情報通信研究機構
http://www2.nict.go.jp/n/n662/chotatu/nyusatu/100924C20002.pdf
☆独立行政法人 日本貿易振興機構
http://www.jetro.go.jp/procurement/item/20100930845-procurement/PLB101006001kokoku.pdf
☆独立行政法人統計センター
http://www.nstac.go.jp/supply/pdf/nyusatus-220928.pdf
☆独立行政法人 勤労者退職金共済機構
http://www.taisyokukin.go.jp/supply/PDF/h22koukoku033.pdf
☆茨城県農林水産部
http://www.pref.ibaraki.jp/kaikei/kaini/koukoku/a25teisei.pdf
☆埼玉県保健医療部
http://www.pref.saitama.lg.jp/page/newinflu-nyusatsu.html
 
個人情報保護法との関係:
Q1108.個人情報保護法とISMS認証との関係を教えて下さい。
A.ISMS認証基準は法規制と密接に関連しています。個人情報保護法の遵守もその一つであり、これらについては「法規適合性に関するISMSユーザーズガイド」を作成していますので参照下さい。
このガイドは下記URLよりダウンロードできます。
http://www.isms.jipdec.jp/doc/JIP-ISMS115-20.pdf
 

12.ISMS制度と他の情報セキュリティ制度との関係

関連する情報セキュリティ制度:
Q1201.情報セキュリティに関する制度の中では、ISMSは一番厳しい制度でしょうか。
A.情報セキュリティに関連する制度として、ISMS適合性評価制度、プライバシーマーク制度、情報セキュリティ監査制度などがあります。それぞれ目的や基準等が異なりますので、どの制度が厳しいかは一概に言えません。
 
プライバシーマーク制度との相違:
Q1202.ISMS制度とプライバシーマーク制度との関係を教えて下さい。
A.両制度の共通点としては、組織内のセキュリティ保護のインフラ整備や構成員への教育、(内部)監査、経営者レビューなどがあり、常にPDCAのマネジメントサイクルを回せれば、組織にとって有効な活動となります。以下に主な違いを説明します。
1)適用範囲
 Pマーク:全社的な取組みが基本となります。
 ISMS:組織の必要に応じて、適用範囲を決定することができます。
2)保護の対象
 Pマーク:組織が取扱う個人情報を特定し、個人情報の保護対策を実施します。
 ISMS:組織が保護すべき情報資産を識別し、セキュリティ対策を実施します。
3)管理範囲
 Pマーク:個人情報の保護は、個人情報の安全管理策を実施するだけでなく、管理する個人情報について本人の権利に対応することも含まれます。即ち、情報取得時には事前に利用目的等を伝えた上で本人の同意をとることが必要であり、取得後も本人からの修正・削除などの要望に応じる等の必要があります。
 ISMS:基本的に、組織の事業活動全般及びリスク全般を考慮し、事業上の要求事項、法的又は規制要求事項に対するリスクアセスメントによりセキュリティ対策(管理策)を実施します。
4)規格と作成文書
 Pマーク:JIS Q 15001:2006 個人情報保護マネジメントシステム−要求事項に従って、組織が個人情報保護マネジメントシステム文書を作成します。
 ISMS:JIS Q 27001の要求事項に従い、組織のリスクアセスメントに基づいてISMS文書を作成します。
5)マネジメントシステム構築での配慮事項
 Pマーク:個人情報の安全管理策を構築することに加えて、情報主体の権利に対する要求への管理策が必要となります。また、個人が対象となるために、苦情処理窓口を準備して対応するなど消費者保護の側面を考慮する必要があります。
 ISMS:組織の事業継続や、運用コストも配慮した総合的な観点でセキュリティ対策の取組みがされているかが重要なポイントとなります。
 
情報セキュリティ監査制度との関係:
Q1203.ISMS制度と情報セキュリティ監査制度との関係について教えて下さい。
A.ISMS制度は、認定された認証機関がISMS認証基準(JIS Q 27001)を基に組織のISMS認証を行います。情報セキュリティ監査制度は、情報セキュリティ監査企業台帳登録企業が、情報セキュリティ管理基準及び情報セキュリティ監査基準を基に組織が基準に適合しているか否かを監査するものです。 情報セキュリティ監査制度については下記を参照下さい。
http://www.meti.go.jp/policy/netsecurity/audit.htm
 
海外との相互承認:
Q1204.ISMS認証に関して、海外との相互承認はどうなっていますか。
A.ISMS認証に関する海外との相互承認は、認証基準がISO/IEC 27001化されたことにより、IAF(International Accreditation Forum, Inc.)において現在検討されています。
 
公益財団法人日本適合性認定協会(JAB)との関係:
Q1205.ISMS適合性評価制度における、一般財団法人日本情報経済社会推進協会(JIPDEC)と公益財団法人日本適合性認定協会(JAB)との関係を教えて下さい。
A.JIPDECは日本における情報セキュリティマネジメントの普及を目指して、ISMS適合性評価制度の立上げ及び普及に努め、2001年より認定機関としても活動しています。JABも2006年よりISMSの認定機関として活動を開始しました。両者ともISMS認定機関としての役割は同じです。
 

13.説明会・刊行物

JIPDECの発行文書の状況:
Q1301.JIPDECによる参考文書の発行状況を教えて下さい。
A.JIPDECがホームページで公開している、又は冊子版を作成しているISMS認証に関わる参考文書は以下の通りです。(2010年10月現在)
 @ISMS適合性評価制度の概要(パンフレット)
 AISMSユーザーズガイド−JISQ27001対応−
 BISMSユーザーズガイド−リスクマネジメント編−
 C法規適合性に関するISMSユーザーズガイド
 D医療機関向けISMSユーザーズガイド
 Eクレジット産業向けISMSユーザーズガイド
 Fクレジット加盟店向け“情報セキュリティのためのガイド”
 G外部委託におけるISMS適合性評価制度の活用方法
下記よりダウンロードできます。
http://www.isms.jipdec.jp/std/
また、冊子版を作成しているものもあり請求可能です。冊子版の種類及び申込み方法は下記を参照下さい。
http://www.isms.jipdec.jp/soufu.html
 
説明会の計画:
Q1302.JIPDECによるISMSに関する説明会は、定期的に行われているのでしょうか。
A.JIPDECでは、ISMS制度の普及活動として毎年説明会を実施してきました。新たに開催が決まりましたらホームページの最新トピックスにて案内します。また過去の開催については下記URLを参照ください。
http://www.isms.jipdec.jp/setumeikai.html
 

トップページ


[Home]
Last modified: Thu Feb 20 11:04 JST 2014
Copyright © 2000-2018 JIPDEC All Rights Reserved.