ISMS認証・情報セキュリティマネジメントシステム適合性評価制度

ISMS(Information Security Management System)情報セキュリティマネジメントシステムとは、企業・組織における情報セキュリティ管理体制の国際基準です。ISO/IEC 27001はISMSの要求事項を定めた国際規格であり、日本語訳がJIS Q 27001です。

企業にとって、ITインフラや情報システム、通信ネットワーク、コンピュータデバイスは不可欠です。しかしITの普及と一般化が進むにつれて、情報漏洩、不正アクセス、ランサムウェア被害など、重大な事件が多発しています。セキュリティインシデントが発生した場合、情報漏えいやサービス停止、あるいは賠償や訴訟といった被害が発生します。
企業はISMSの構築によって、情報セキュリティのインシデントを回避するリスクマネジメント、情報資産の管理体制を確立し、国際基準に基づいた対外的な信用を得ます。

ISMSは、ISO/IEC27001:2013(JIS Q 27001:2014)の要求事項に適合させる必要があり、「CIA」と呼ばれる3要素「機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)」を保全するようマネジメントシステムを構築します。
ISMSの構築は、情報が漏洩しない(機密性)、情報の改竄や誤りがない(完全性)、必要なときに必要な情報を利用できる(可用性)について、企業の業務・既存システム・ITインフラの規模・管理コストなどにマッチングするよう、多角的な検討が重要です。

ISMS要求事項、ISO/IEC 27001(JIS Q 27001)

ISMS構築には、情報セキュリティの国際規格である ISO/IEC 27001(JIS Q 27001)が必要です。 ISO/IEC 27001 は、ISO(International Organization for Standardization:国際標準化機構)が発行する国際規格です。ISO/IEC 27001を日本語翻訳し、日本国内の規格として発行されたのがJIS Q 27001です。ISO/IEC 27001規格とJIS Q27001規格は同じ内容であること(IDT:IDENTICAL)が認められています。
ISO/IEC27001(JIS Q 27001)は、企業・組織がISMSを構築し、情報資産の管理策の整備を行い、適切に情報セキュリティ体制を運用するための要求事項を定義しています。

【ISO/IEC27001:2013(JIS Q 27001:2014)の要求事項】

  1. 序文
  2. 適用範囲
  3. 引用規格
  4. 用語及び定義
  5. 組織の状況
  6. リーダーシップ
  7. 計画
  8. 支援
  9. 運用
  10. パフォーマンス評価
  11. 改善
  12. 附属書A

ISMS取得に必要となる認証機関の第三者証明

ISMSは、情報セキュリティマネジメントシステム(Information Security Management System)の略称です。そしてISMS認証は、該当企業の情報セキュリティマネジメントシステムについて、ISMS認証機関の審査を受け、ISO/IEC 27001要求事項の適合を証明して取得します。

ISMS認証の取得は、認証機関による審査が必要です。第三者である認証機関は、企業が構築した情報セキュリティマネジメントシステムについて、公平な立場で審査を行い、ISO/IEC 27001への規格適合を証明します。審査は取得時と、年1回の継続審査、3年に1回の再認証審査が必要です。

*ISMS認証と同義で使用されるものに「ISO/IEC 27001認証」「JIS Q 27001認証」があります。ISO/IEC 27001規格とJIS Q27001規格は同じであり(IDT:IDENTICAL)、ISO/IEC 27001認証、JIS Q 27001認証も同義です。

ISMS 適合性評価制度

ISMS、情報セキュリティマネジメントシステムの基準は、国際規格ISO/IEC 27001/日本産業規格 JIS Q 27001「情報セキュリティマネジメントシステム-要求事項」です。
企業によって構築されたISMSが、ISO27001/JISQ27001に適合していることを、第三者が評価、認定する制度が「ISMS適合性評価制度」です。ISMS適合性評価制度は「認証機関」「認定機関」「要員認証機関」から構成されます。

認証機関

組織のISMSを第三者機関として審査を行います。認証機関による審査がISMS認証審査です。

認定機関

認定機関は認証機関が適切にISMS認証審査を実施できるか審査を行います。認定機関による認証機関の審査が認定審査です。

要員認証機関

ISMS認証審査を行う審査員を認証(審査員として適切な力量があるか評価)します。ここで認証を受けた審査員が、ISMS認証機関に登録しISMS認証審査を行います。

ISMS認証機関を認定機関が認定する意義

認定機関は、ISMS認証機関の審査能力について、国際規格ISO/IEC 27006による審査を行います。要員認証機関についても同様の審査が行われています。


ABOUT

会社概要

MAIL

メールお問い合わせ

TEL

電話でお問い合わせ

03-5225-6970(代表) 平日9時~18時

ACCESS

Googleマップを表示します

このサイトについて

サイトの安全性について

このサイトはジオトラストのSSLで保護されています。