ISMS(情報セキュリティマネジメントシステム、Information Secrutiy Management System)
最近、Microsoftは2017年9月27日(現地時間)、 同社のセキュリティ対策ソリューションである「Windows Defender ATP(Advanced Threat Protection)」がISO/IEC27001:2013認証、ISMSを取得したことを皆さんは知っていましたか? Microsoftだけではなく、様々な企業が自社のISMS取得を知らせることで、 自社の情報セキュリティの安全性をアピールする時、よく言及する国際認証です。
では、今からISMSが具体的に何か、そして認証をとるためのプロセスが何かについて調べたいと思います。
ISMSは、情報保護管理システムで企業が主要な情報資産を保護するため確立して、管理や運営する情報保護管理システムが認証基準に充足しているかを審査し、認証を付与する制度です。ISMS適合性評価制度は、平成14年4月の本格運用から全ての業種・業務分野を対象範囲にし始めました。下図はISMSが情報セキュリティの主な3要素を定義したものです。
しかし、ISMS認証をもらったことでセキュリティの安全性が保障できるかどうかをいうと、必ずしもそうだとは言い切れないです。ハッキング技術は、常に進化しているからです。ですが、ある企業がISMS認証を取得したのかどうかを確認すれば、情報通信方法上の技術的、管理的保護措置を正しく取ったのかは確認できるそうです。
以下はISMS取得プロセスです。
- 認証取得の申請先
認証機関の認定は、情報マネジメントシステム認定センター(以下、本認定センター)が行います。本認定センターは認証機関を認定する機関であり、組織に対するISMS認証登録は行いません。
- 認証機関の選択
認定された認証機関は、業種による制限はありませんので、どの業種の組織でも審査することができます。但し、審査において業種特有な専門的知識が必要な場合は、認証機関として審査を受付けない場合があります。また、利害が絡む場合等で審査を受付けられない場合があります。認証機関を選択したら、認証審査・登録に関する条件について事前に確認し、合意されたら申請します。認証登録に関わる料金は、適用範囲や受審組織の規模等の他、認証機関によっても異なります。
- 審査及び登録
審査は原則として、第一段階審査と第二段階審査の2段階で行われます。第一段階審査の目的は、組織のISMS基本方針及び目的に照らして当該ISMSを理解し、また特に当該審査に対する、組織の準備状況を理解することにより、第二段階審査計画の焦点を定めることです。第二段階審査は、組織が自ら定めた基本方針、目的、及び手順を遵守していることを確認すること、及び当該ISMSがISMS規格JIS Q 27001のすべての要求事項に適合していること、並びに当該ISMSが組織の基本方針及び目的を実現しつつ、あることを確認することです。審査日数や審査工数は、適用範囲、受審組織の規模等によって異なります。
- 登録の維持
認証登録されたら、通常1年毎にサーベイランス審査が行われます。サーベイランス審査はもっと短い間隔で行われる場合もあります。再認証審査は3年毎に行われます。
出典
http://news.mynavi.jp/news/2017/09/28/181/
- ISMS適合性評価制度
