第3回 ISMS適合性評価制度を学ぶ：対策に最適な制度を活用する（3/4 ページ）

[丸山満彦（監査法人トーマツ），ITmedia]

1.章立て

　ISMS評価基準の章立ては、次のとおり。

第0 序文
第1 適用範囲
第2 引用規格等
第3 用語及び定義
第4 情報セキュリティマネジメントシステム
第5 経営陣の責任
第6 マネジメントレビュー
第7 改善
附属書「詳細管理策」

　このうち、認証のための要求事項は、第4から附属書までとなっている。第4から第7までの要求事項は、すべて満たさなければならないが、附属書に記載されている要求事項は、リスクアセスメントに基づいて組織が決定することができる。

　附属書には、JIS X 5080の章立てにそった127の要求事項がある、章立ては次のとおり。

1．はじめに
2．実践規範への手引き
3．情報セキュリティ基本方針
4．組織のセキュリティ
5．資産の分類及び管理
6．人的セキュリティ
7．物理的及び環境的セキュリティ
8．通信及び運用管理
9．アクセス制御
10．システムの開発及び保守
11．事業継続管理
12．適合性

　要求事項は、3.〜12.までである。ISMS認証基準は、JIPDECのWebページからダウンロードできる。

2.要求事項

　次に、要求事項の内容を簡単に説明する。第4章では、PDCA（計画-実施-点検-改善）によるマネジメントの要求事項が記載されている。セキュリティ対策の決定にあっては、リスクアセスメントの枠組みを決定し、情報資産の機密性、完全性、可用性の側面からのリスクアセスメントの実施に基づく、セキュリティ対策の決定が重要なポイントとなる。

　リスク対応は、セキュリティ対策の導入ばかりではなく、リスク回避、リスク移転、リスク保有といった対応も可能だ。リスク保有は、リスクが顕在化した場合の損害に備えて十分な資金の引き当てを行うことだ。金融機関では、BIS規制により市場リスク、オペレーショナルリスクに対する資本引き当てが行われているが、それもリスク保有といえる。リスク対策が決定すれば、附属書の127の要求事項との対応を行い、適用宣言書を作成する。

　127のセキュリティ対策は、JIS X 5080に基づく標準としてのベストプラクティスであり、組織にとっては不必要な対策もあれば、逆に不足している対策もあるだろう。その場合は、合理的に説明できるのであれば追加削除することも差し支えない。なお、適用宣言書は単なる附属書との対応表ではない。管理策を実施することについての組織責任者による宣言である。従って、組織の責任者による承認が必要となる。

　そのほかの要求事項は、品質マネジメントシステムのJIS Q 9001とよく似ている。すでにほかのマネジメントシステムを導入している組織であれば、そのマネジメントシステムと同じ枠組みで、ISMSを構築することが当然望ましい。

認証取得企業との取引上の留意点