ISMSの概要、関連規格、Pマークや個人情報保護法との関連、最近の公共機関や企業の動向を紹介する。
ISMS(ISO27001)の概要
1. ISMSとは
情報セキュリティ(information security)とは情報の機密性,完全性、可用性、すなわちCIAを守ることであり,真正性,責任追跡性,否認防止及び信頼性を守ることを含むこともある。すなわちISMS(information security management system)とは情報セキュリティマネジメントシステムのことであり、情報セキュリティを自分たちの組織のマネジメントとして、自分たちのリスクアセスメントにより必要なセキュリティレベルを決め、情報セキュリティ計画をたて、経営資源配分計画のもと、情報セキュリティシステムを運用し維持改善をスパイラルアップすることである。
ISMSの構築運用は,組織のニーズ、目的,セキュリティ全般への要求,プロセス,規模など、組織のニーズ、身のたけにあった調整を図る。単純なら、単純なISMSとなるということである。ISMS は,PDCAモデルとプロセスアプローチを採る。通常、プロセスのアウトプットは,次のプロセスヘの直接のインプットとなる。PDCAはプロセスすべての構築に適用される。
一般には第三者である認証機関がISMS(ISO27001)の認証を組織の適合性を評価する「ISMS適合性評価制度」によるISMS認証を意味することが多い。
ISMSは、情報技術関連の業種だけでなく、全ての業種で認証を取得することができる。
ISMS認証取得は、「審査機関」が組織が構築したISMSがJIS Q 27001(ISO/IEC 27001)に適合しているかを審査し適合していれば判定委員会にかけ登録する。またJIPDECは「審査機関」を審査する「認定機関」という関係である。
2. 規格の歴史
英国の規格BS779-1とBS7799-2→国際規格ISO/IEC 27002とISO/IEC 17799
さらに2005年に改定されISO/IEC 27002:2005とISO/IEC 27001:2005となる。
日本で翻訳され、JIS規格となり、2006年にJISQ27002とJISQ27001になる。
3.ISMSとPマークとの違い
ISMSの対象は情報資産であり自分で決める、Pマークは個人情報に特化している。その意味ではISMSはPマ-クの個人情報を含むこともできる。同じPDCAサイクルを採用しているが大きな違いがある。ISMSは国際規格だが、Pマ-クは国内のみでしか通用しない。ISMSは維持審査が毎年あり3年目に更新審査がある。Pマ-クは2年間有効でその間に更新審査がある。ISMSは認証範囲を自分で特定できるが、Pマ-クは全体である。ISMSの指摘事項と対処の仕方が違い指摘があると長期間かかる場合もある。ISMSは審査員を選定できるがPマ-クは審査員を選定できない。これは重要なことである。審査員は人によりいろいろであり企業にあった審査員を事前に選定することによりよい審査を受けることができる。規格の解釈が異なりなかなか審査合格ができないと審査は企業の重荷になってしまう。これは本末店頭で悲劇以外のなにものでもない。Pマ-クの方が一般に審査費用は安いが、いままでにあげた比較からかえって高い場合もある。Pマークの指摘事項の対処をあやまり予算の10倍近く費用がかかりトラウマになった経営者もいるという。一般にISMSはPマークよりもレベルが上といわれることが多い。実際は対象と事業上の目的と効果から取得を考えるといい。
