個人情報保護に関する各種制度を解説するシリーズ。第3回では、情報セキュリティにかかわる認証として、ISMS適合性評価制度について解説する。
1.特徴
ISMS認証制度は、組織において情報セキュリティマネジメントが整備、運用されていることをISMS認証基準に従って第三者機関が審査し、認証する制度である。データセンター向けに行われていた安全対策実施事業所認定制度が2001年3月に廃止されたことを受け、その後継制度として英国のISMS認証制度であるBS7799-2認証制度を模して開始された。品質マネジメントシステムの認証と同様、認証範囲は、1つのマネジメント単位で事業者が自ら設定できる。
ただし、安全対策実施事業所認定制度と異なり、一定水準以上のセキュリティ対策が実施されていることを保証していない。そのため、ISMS認証取得を受けていることが必ずしも、高いレベルのセキュリティ対策を実施していることにはつながらない。このことは、制度の利用にあたって肝に銘じておかなければならない、重要なポイントである。
2.スキーム
ISMS制度は、JISのマネジメント認証制度と同じスキームを採用している。ISMS適合性評価制度は、組織が構築したISMSが認証基準に適合しているか審査し登録する「審査登録機関」、その審査員になるために必要な研修を実施する「審査員研修機関」および審査員の資格を付与する「審査員評価登録機関」、そしてこれら各機関がその業務を行う能力を備えているかをみる「認定機関」から構成される。
財団法人日本情報処理開発協会(JIPDEC)のISMS推進室は、認定機関として審査登録機関および、審査員研修機関の認定を行っている。全体図は次のとおりである。
ISMS認証を受けたい組織(評価希望事業者)は、審査登録機関に申請を行う。審査登録機関は、2004年8月17日現在、次の14機関ある。この審査登録機関すべてがBS7799-2の審査登録機関となっているわけではないため、BS7799-2の認証を希望する場合は、審査登録機関に確かめるとよい。
認定番号 | 機関名称 |
---|---|
ISR001 | 財団法人 日本品質保証機構 マネジメントシステム部門 |
ISR002 | 日本検査キューエイ |
ISR003 | ケーピーエムジー審査登録機構 |
ISR004 | ビーエスアイジャパン |
ISR005 | 財団法人 日本科学技術連盟 ISO審査登録センター |
ISR006 | 財団法人日本規格協会 審査登録事業部 |
ISR007 | 日本情報セキュリティ認証機構 |
ISR008 | デット ノルスケ ベリタス エーエス DNV認証事業 日本支社 |
ISR009 | エヌ・ティ・ティ エムイー マネジメントシステム審査登録センタ |
ISR010 | 中央青山審査登録機構 |
ISR011 | 社団法人 日本能率協会 審査登録センター |
ISR012 | ペリージョンソン レジストラー |
ISR013 | 財団法人電気通信端末機器審査協会 ISMS審査登録センター |
ISR014 | トーマツ審査評価機構 |
3.認証数
ISMS評価制度の認証数は、2005年1月17日現在で622事業所となっている。
このペースで推移すると、2004年度末には約700事業所となりそうである。なお、BS7799-2の認証数は、2004年12月現在で、43の国と地域で合計1021事業所となっている(ISMSユーザーグループ調べ)。アジア地域が全体の約3分の2、欧州地域が約3分の1である。日本は465事業所と半数弱を占めている。国別の取得比率は次の通りだ。
Copyright © ITmedia, Inc. All Rights Reserved.