第3回 ISMS適合性評価制度を学ぶ対策に最適な制度を活用する(1/4 ページ)

個人情報保護に関する各種制度を解説するシリーズ。第3回では、情報セキュリティにかかわる認証として、ISMS適合性評価制度について解説する。

» 2005年02月03日 09時00分 公開
[丸山満彦(監査法人トーマツ),ITmedia]

ISMS適合評価制度の概要

1.特徴

 ISMS認証制度は、組織において情報セキュリティマネジメントが整備、運用されていることをISMS認証基準に従って第三者機関が審査し、認証する制度である。データセンター向けに行われていた安全対策実施事業所認定制度が2001年3月に廃止されたことを受け、その後継制度として英国のISMS認証制度であるBS7799-2認証制度を模して開始された。品質マネジメントシステムの認証と同様、認証範囲は、1つのマネジメント単位で事業者が自ら設定できる。

 ただし、安全対策実施事業所認定制度と異なり、一定水準以上のセキュリティ対策が実施されていることを保証していない。そのため、ISMS認証取得を受けていることが必ずしも、高いレベルのセキュリティ対策を実施していることにはつながらない。このことは、制度の利用にあたって肝に銘じておかなければならない、重要なポイントである。

2.スキーム

 ISMS制度は、JISのマネジメント認証制度と同じスキームを採用している。ISMS適合性評価制度は、組織が構築したISMSが認証基準に適合しているか審査し登録する「審査登録機関」、その審査員になるために必要な研修を実施する「審査員研修機関」および審査員の資格を付与する「審査員評価登録機関」、そしてこれら各機関がその業務を行う能力を備えているかをみる「認定機関」から構成される。

 財団法人日本情報処理開発協会(JIPDEC)のISMS推進室は、認定機関として審査登録機関および、審査員研修機関の認定を行っている。全体図は次のとおりである。

 ISMS認証を受けたい組織(評価希望事業者)は、審査登録機関に申請を行う。審査登録機関は、2004年8月17日現在、次の14機関ある。この審査登録機関すべてがBS7799-2の審査登録機関となっているわけではないため、BS7799-2の認証を希望する場合は、審査登録機関に確かめるとよい。

表1 審査登録機関:2004年8月17日現在(出典:財団法人日本情報処理開発研究会
認定番号 機関名称
ISR001 財団法人 日本品質保証機構 マネジメントシステム部門
ISR002 日本検査キューエイ
ISR003 ケーピーエムジー審査登録機構
ISR004 ビーエスアイジャパン
ISR005 財団法人 日本科学技術連盟 ISO審査登録センター
ISR006 財団法人日本規格協会 審査登録事業部
ISR007 日本情報セキュリティ認証機構
ISR008 デット ノルスケ ベリタス エーエス DNV認証事業 日本支社
ISR009 エヌ・ティ・ティ エムイー マネジメントシステム審査登録センタ
ISR010 中央青山審査登録機構
ISR011 社団法人 日本能率協会 審査登録センター
ISR012 ペリージョンソン レジストラー
ISR013 財団法人電気通信端末機器審査協会 ISMS審査登録センター
ISR014 トーマツ審査評価機構

3.認証数

 ISMS評価制度の認証数は、2005年1月17日現在で622事業所となっている。

図2 図2■ISMS認証数:2005年1月17日現在(出典:財団法人日本情報処理開発研究会

 このペースで推移すると、2004年度末には約700事業所となりそうである。なお、BS7799-2の認証数は、2004年12月現在で、43の国と地域で合計1021事業所となっている(ISMSユーザーグループ調べ)。アジア地域が全体の約3分の2、欧州地域が約3分の1である。日本は465事業所と半数弱を占めている。国別の取得比率は次の通りだ。

図3 図3■国別BS7799-2認証数(出典:ISMS International User Grup

認証取得のメリット・意義

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ