HOME > 経営を良くする > 中小企業のための情報セキュリティQ&A

中小企業のための情報セキュリティQ&A

情報セキュリティのトップページへ

情報セキュリティQ&Aの活用法

情報セキュリティQ&A 情報セキュリティの基礎
予防対策
トラブルが発生したら
認証について

リンク集 公的機関
OS関連
ウイルス対策
ニュース・メディア
総合情報
[ カテゴリー:認証について ]

[Q4-5] 情報セキュリティマネジメントシステム(ISMS)適合性評価制度の認証取得方法

質問

情報セキュリティマネジメントシステム(ISMS)適合性評価制度の認証取得を考えています。どうすれば取得できますか。

回答

(財)日本情報処理開発協会(JIPDEC)が国際制度に準拠した認証の仕組みを設定し、第三者認証を業務として行う機関を認定して、企業がISMSの認定を容易に受けることができるようにしています。JIPDECが制度の内容と取得方法を公開しています。Webサイトで情報を入手可能です。

ISO9001、ISO14000の取得と同様に、認証基準を満たし、自社で継続した運用が可能な情報セキュリティポリシーの設定と実施手順の作成し、運用、評価改善を行うというPDCA(Plan-Do-Check-Action)のマネジメントサイクルを回すことが必要です。

情報セキュリティポリシーは英国規格BS7799が「ISO/IEC 17799」として標準化され、日本国内でもこの流れを受け継いだ情報セキュリティマネジメントシステム(ISMS)適合性評価制度の本格運用が2002年4月より開始されました。

企業における情報セキュリティ全体を対象としており、広範囲にわたる分野が規定されています。具体的には、次の10個のセキュリティ管理分野が規定されています。

  • セキュリティ基本方針
  • 組織のセキュリティ
  • 資産の分類および管理
  • 人的セキュリティ
  • 物理的および環境的セキュリティ
  • 通信および運用管理
  • アクセス制御
  • システムの開発および保守
  • 事業継続管理
  • 適合性

これらの10個の管理分野が、セキュリティを実施する目的別に36項目に分けられており、さらにそのセキュリティ対策を実現するための詳細管理策が127項目にわたって規定されています。
企業はこの127項目の管理策のうち、適切なものを選択して「情報セキュリティポリシー」にまとめ、従業員に公開します。このポリシーに基づき、規定書・手順書を作成します。この内容を従業員に教育・訓練し、実務に適用していきます。実施状況を検証し、改善策をセキュリティポリシーの見直しもふくめ、検討していきます。(2005年7月:吉村)

Q&A TOPへ