back

規格・認証制度

ISO9000s
QMS
Quality Management System
品質マネジメントシステム  
ISO12100s
機械類の安全性に関る基本概念、設計のための一般原則
ISO14000s
EMS
Environment Management System
環境マネジメントシステム  
ISO22000s
FSMS

Food Safety Management System
食品安全マネジメントシステム  

ISO27001
ISMS
Information Security Management System
情報セキュリティマネジメントシステム
企業が情報セキュリティを確保・維持するために、ルールに基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する枠組み。
ISMSに求められる範囲は、技術的な情報セキュリティ対策のレベルではなく、組織全体に渡ってセキュリティ管理体制を構築・監査し、リスクマネジメントを実施することである。
ISMSをその組織が保持しているかどうかを第三者認定する制度は、情報処理サービス業事業者に対するISO/IEC17799・27001に基づいた「ISMS適合性評価制度」と呼ばれ 、日本情報処理開発協会(JIPDEC)を中心に2002年より運用されている。
JIPDECの定義では「ISMSとは個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することである」また「組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することがISMSの要求する主なコンセプトである」としている。
機密性/アクセス権を持つ者だけが情報にアクセスできることを確実にする。
完全性/情報および処理方法が正確であることおよび完全であることを保護する。
可用性/認可された利用者が必要なときに情報および関連する資産にアクセスできることを確実にする。
ISMSの確立
ISMSの要求事項は、組織の自らの事業の活動全般及び直面するリスクを考慮して、文書化されたISMSを確立、導入、運用、監視、見直し、維持し、かつこれを継続的に改善することである。
ISMSの確立にあたりISMSの適用範囲を定義し、ISMS基本方針を策定する。策定したISMSの適用範囲及び基本方針に基づき、リスクアセスメントの体系的な取組方法を策定する。保護すべき情報資産に対するリスクを識別し、リスクアセスメントを実施する。リスクアセスメントの結果、リスクの受容ができない場合にはリスク対応の選択肢を明確にし評価する。リスク対応に基づき、実施すべき管理目的と管理策を選択する。リスクアセスメントの結果、何が残留リスクなのか、残留リスクはどの程度あるのかを明確にした上で経営陣が承認し、ISMSを運用することを許可する。重要なことは、これらの選択については適用宣言書で明確に公表することにある。
経緯
情報処理サービス業に対し、コンピュータシステムの安全対策が十分かどうかを認定する制度として、旧通産省「情報システム安全対策実施事業所認定制度」(以下、安対制度という)があった。安対制度では主に施設・設備等の物理的な対策に重点がおかれ、対象業種としてはデータセンターを持った情報処理業が対象となっていた。 2000/7に通商産業省から公表された「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」に基づき、日本情報処理開発協会 (JIPDEC) にてスタートさせた民間主導による第三者認証制度である。
標準化の流れ
BSI(英国規格協会)によって規定されたBS7799がベースとなって標準化が進んだ。そのPart1では情報セキュリティ管理の実施基準、Part2に仕様が書かれている。ISMS認証基準はPart2を基準に策定されているが、Part1の内容も取り入れられた。ISO化も進められ、BS7799-1はISO/IEC17799として、BS7799-2はISO/IEC27001として策定された。JIS化も行われ、ISO/IEC27001はJIS Q 27001、ISO/IEC17799はJIS Q 27002として策定された。
PDCA 基本活動
Plan/具体的計画・目標を策定する。
Do/計画に基づいて対策の導入・運用を行う。
Check/実施した結果の監視・見直しを行う。
Act/経営陣による改善・処置を行う。
これらの活動をひとつのサイクルとして推進させることが重要。
ISO International Organization for Standarization
国際標準化機構/工業規格の国際統一と調整を促進することを目的とし1947年設立。
IEC International Electrotechnical Commision
国際電気標準会議/電気に関する国際規格の統一と協調を目的とし1906年設立。
   

Home TOHO SEIKI CO.,LTD.

弊社製品に関連した一般的な情報を社内研修用にまとめたものです。
詳細は関連法令・図書等でご確認下さい。
2007/6