ISMS適合性評価制度

 情報セキュリティポリシーのスタンダード・ガイドラインであるBS7799とは、英国規格のことであり、国際規格ISO/IEC17799:2000として2000年9月に制定されている。BS7799は、Part1Part2からなり、Part1は、組織が適切な情報セキュリティを実施出来るように実施指針を提供している。Part2は、情報セキュリティマネジメントシステム(ISMS)をBS7799規格で審査するときの根拠を示すもので認証基準と呼ばれている。また、ISMS適合性評価制度とは、BS7799-Part2を、国内向けにJIS規格化したJIS X 5080:2002として2002年2月に制定されており、ISMS認証基準と呼ばれている。
 一般的に情報セキュリティマネジメントシステム(ISMS)とは、限られた経営資源で、情報資産を守るために、情報資産の洗い出しを行い、その重要性と情報資産が危害を受ける可能性を考慮して脆弱性を算定し、リスクの高いものに経営資源を集中させ、最も効率的・効果的に情報資産を守る仕組のことをいっている。
 そして、企業は BS7799-Part2 又は JIS X 5080:2002 に準拠した自社のセキュリティシステムを審査機関により第三者認証して貰うために、情報セキュリティ・ポリシーの策定、ユーザ認証の設定、不正侵入への対策、利用者への情報セキュリティ教育等、ISMS構築のための各種の規程・手順を 情報セキュリティルール として作成することが必要になる。

 なお、ISMS認証基準の国際規格がISO/IEC 27001:2005として2005年10月に発行されました。これに伴い、ISMS認証基準(Ver.2.0)及びBS7799は順次廃止となります。ISMS認証基準(Ver.3.0)は発行されず、今後はISO/IEC 27001規格に統合され、更に、JIS Q 27001規格として2006年4月に発行される見込みです。
《 移行計画の概要(案も含む)》
 (1) 2006年4月 : JIS Q 27001規格での新規登録を開始
 (2) 2006年10月: ISMS認証基準(Ver.2.0)からJIS Q 27001規格への移行を開始
   ISMS認証基準(Ver.2.0)及びBS7799での維持審査の実施と同時に、JIS Q 27001規格への
   移行のための差分審査を実施することが要求されています。
 (3) 2007年7月 : 移行を完了、ISMS認証基準(Ver.2.0)及びBS7799は廃止。


《補足》 ISMS : Information Security Management System


《参考》認定機関と審査機関(2007年8月10日現在)

 認定機関: 財)日本情報処理開発協会(JIPDEC)
 審査機関: 財)日本品質保証機構 マネジメントシステム部門
       日本検査キューエイ
       潟Pーピーエムジー審査登録機構
       ビーエスアイジャパン
       財)日本科学技術連盟 ISO審査登録センター
       財)日本規格協会 審査登録事業部
       鞄本情報セキュリティ認証機構
       デット ノルスケ ベリタス エーエス DNV認証事業 日本支社
       潟Gヌ・ティ・ティ エムイー マネジメントシステム審査登録センター
       樺央青山審査登録機構
       社)日本能率協会 審査登録センター
       ペリージョンソン レジストラー
       財)電気通信端末機器審査協会 ISMS審査登録センター
       潟gーマツ審査評価機構
       テュフ・ラインランド・ジャパン
       潟}ネジメントシステム評価センター
       潟Wェイーヴァック
       ビューローベリタスジャパン
       財)防衛調達基盤整備協会 システム審査センター
       ロイド レジスター クオリティ アシュアランス リミテッド
       SGSジャパン 認証サービス事業部
       財)ベターリビング システム審査登録センター
       日本海事検定キューエイ
       潟Oローバルテクノ 審査事業部
       エイエスアール