あらゆる企業において重要視されるようになった情報セキュリティ。
その対策が行われていることは、社会的な信頼を得る上でも重要な要素とみなされます。
企業の情報セキュリティ対策状況を社外に向けてアピールする方法の一つが、外部機関の認証を取得することでしょう。
社会的に信頼性の高い認証を得ていることで、適切な情報セキュリティ対策がなされていることを示せます。
どのような業界、業種でも近年耳にする機会が増えたのがISMS認証です。国際的な標準規格ISO/IEC 27001によって定められており、情報セキュリティ分野では最も知名度が高い認証制度といえます。
本記事ではISMS認証を得るためのISMS適合性評価制度について、概要、認証までの流れ、認証を受けるためのサポートについて説明します。
ISMS適合性評価制度とは
ISMS適合性評価制度とは、「組織内での情報の取り扱いについて、機密性、完全性、可用性を一定の水準で確保するための仕組みが整っていること」を認定する制度です。
ISMS適合性評価制度によって適合を認められた場合に、ISMS認証を受けることができます。
本制度の運用は、2002年より一般財団法人日本情報経済社会推進協会(JIPDEC)の情報マネジメントシステム認定センターが行っています。
ISMSについておさらい
そもそも「ISMS」とはInformation Security Management Systemの略で、情報セキュリティマネジメントシステムを意味しています。情報マネジメントシステム認定センターの「ISMSとは」というページでは、ISMSについて次のように定義を行っています。
「ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。」
情報マネジメントシステム認定センター「ISMSとは」より
個々の企業がISMSに関して定められた要求事項を基に、情報マネジメントシステムを構築し、情報の機密性、完全性及び可用性の維持管理をすることがISMS認証の目的です。
また、ISMSの要求事項をもとにシステム構築を行った後も、継続的に「プラン策定→資源の配分→システム運用」などを管理するPDCA(Plan-Do-Check-Act)サイクルを確立し、運用する必要があります。
ISMS適合性評価制度を受けるには
ISMS認定を受けるには、ISMS適合性評価制度の評価基準を満たし、体制を整備して継続的に実施することが求められます。ISMS適合性評価制度の評価基準は、国際規格であるISO/IEC 27001および同等の国内規格JIS Q 27001に定められた要求事項です。
規格の内容については下記の記事もご覧ください。
ISMS適合性評価制度の基礎となる3つの情報セキュリティ要件
ISMSでは情報セキュリティの主な要素として、「機密性」「完全性」「可用性」の3つをあげています。その内容について記載します。
機密性
機密性とは、「許可していないユーザ、組織、機器、プロセスに対して、情報を使用させず、情報の開示も認めない」という特性です。
例えば企業の持つ業務用のITシステムには許可していない外部ユーザのアクセスは喜ばしいことではありません。許可外のアクセスに対しては、ログインさせない、ネットワークでの遮断などの方法をとり、情報を守ることが機密性の保持となります。
完全性
完全性は「情報が間違っていないこと」という特性です。
企業などで取り扱っているデータが正しく、正確に処理が行われていることがISMSにおいては必要とされます。
可用性
可用性は「情報が必要な時に常に利用できること」という特性です。
常に情報へのアクセスが可能であるというこの特性は、常に攻撃にさらされる危険性と隣り合わせており、ISMSの構築では利便性とのバランスが問われる要素となります。
ISMS適合性評価制度の認定の流れ
ISMS適性評価制度の認定までの流れについて紹介します。
- 1.リスクアセスメント
- 情報セキュリティ上のリスクを洗い出し、必要に応じて対応策(リスクを低減するための手段)を検討します。
- 2.ISMSに関する文書の作成
- 情報セキュリティに対する基本方針やリスク対応策の実施マニュアルなどを文書化します。
- 3.内部監査
- ISMSおよび文書に対し、内部的に監査を行い問題点を指摘します。
- 4.問題点に対するPDCAの実施
- 監査により指摘された問題点に対処を行い、文書の更新を行います。
企業のISMSの事務方担当者と現場担当者に向けて内部監査とPDCAを繰り返します。 - 5.第一段階審査
- 第三者機関による審査を受けます。
企業のISMSの事務方担当者が審査におけるヒアリングを受けます。 - 6.マネジメントレビュー
- 内部監査および第一段階審査の結果を踏まえたISMSの運用について、経営層によるレビューを行いさらなる改善に繋げます。
- 7.第二段階審査
- 第三者機関による審査を受けます。現場の担当者が審査におけるヒアリングを受けます。
- 8.結果の公開
- 認証が完了すると、情報マネジメントシステム認定センターのサイト上に結果が公開されます。
- 9.継続的なPDCAの実施
- 認証が完了した後もISMSを改善するべくPDCAサイクルを繰り返します。
- 10.継続審査、更新審査
- 認証取得後、1年(または半年)のサイクルで継続審査が行われます。
また、3年に一度、更新審査も行われます。
LRMのISMS適合性評価制度認証コンサルティング
LRM株式会社では「ISMS/ISO27001認証取得コンサルティング」を提供しています。
LRMに所属する情報セキュリティコンサルタントによるコンサルティングサービスです。
お客様のISMS適合性評価制度認証に向けて、適用範囲の検討から審査準備の支援までをサポートいたします。
LRMではISMS認証取得コンサルティングの3つの安心ポイントとして、下記を掲げています。
- 訪問回数制限なし
- 他社では訪問回数に制限を設けている場合もありますが、LRMでは進捗状況や要望に応じて、柔軟に対応できるよう、訪問回数に制限を設けておりません。
- 100%取得保証
- これまで、当社のコンサルティングサービスで取得できなかった例はありません。もし、予期せぬ理由等で一時中断することがあっても、最後まで認証取得をやり抜きます。
- 主要文書は全て作成
- お客様の負担を軽減するため、規定や様式などの必要な主要文書の原案は全てLRMで作成致します。ノウハウを凝縮しており、コンパクトで運用しやすい文書です。
下記記事ではLRM独自のコンサルティングの流れについても説明していますのでご参照ください。
コンサル実績豊富な専門会社がサポート
まとめ
ISMS適合性評価制度は企業の情報セキュリティマネジメントを認定、評価する制度です。
ISMS認証を取得することにより、企業は第三者を通して情報セキュリティへの取り組みを示し、社会的な信頼を得ることができます。
ISMS適合性評価制度では国際的な標準規格であるISO/IEC 27001を理解し、その要求事項を満たす必要があります。
初めてISMS認証に取り組む場合には、用語の難しさや文書作成などに時間がかかってしまうことも多いため、情報セキュリティコンサルタントによる支援を活用すると効率的です。
