ISMSコンサルタント|ISO9001,ISO14001認証取得
・他ISO取得・
スリープロサポート株式会社
ISOコンサルタント:トップ > ISO27001取得支援 > ISMS(ISO27001)とは
ISMS(ISO27001)とは
「情報セキュリティマネジメントシステム(Information security management system)」(ISMS)とは技術的なセキュリティ対策だけでなく、社員の活動・管理面のセキュリティ対策も含めた、組織全体の情報セキュリティ管理を達成するための経営システムの一部として捉えられ、ISO27001(Information security management
systems-Requirements)は組織が情報セキュリティを確保する為の仕組みであるそのISMSを構築運用する為の要求事項を規定しています。故にISO27001認証取得とは、その組織が構築したISMSの運用がISO27001の要求事項を満たしていることの証明となります。ISO27001 は情報資産全てに総合的なセキュリティ対策を施した規格で、要求事項はマネジメントシステムと付属書Aから構成されています。現在の最新版は2013年10月に発行されたISO/IEC27001:2013とないます。
情報セキュリティに関する規格は、英国で検討が開始され、1995年に国家規格としBS7799が発行されました。その後BS7799はBS7799-1(ベストプラクティス)とBS7799-2(仕様)の2部で構成されることになり、2000年にBS7799 -1が国際規格化されISO/IEC17799:2000として発行されます。しかし、ISO/IEC17799は実践規範をまとめたものであり(ベストプラクティス:〜したほうが良い)、認証スキームを規定する規格ではな無いため、BS7799-1:2002(1999に改定)をベースに2005年10月にISMS認証基準としてISO/IEC27001を発行することになります。それを受けて日本では、JIS Q 27001が2006年5月にが発行され、現在最新版としてISO27001:2013が2013年10月に発行され、それに伴うJIS Q 27001:2014が2014年3月20日に日本規格協会より発行されています。
日本では、(財)日本情報処理開発協会(JIDEC)が2001年に、BS7799-2に基づいた認証基準(ISMS V.08)を発行し、日本国内の制度として「ISMS適合性評価制度」を開始しました。その後、認証基準はBS及びISO改定に伴い変更され、現在ではISMS認証基準の国際規格としてISO/IEC27001、および、それを日本語に翻訳したJIS Q 27001が発行されたことから、JIS Q 27001を認証基準とした国際的な制度へと移行しました。
ISO27001シリーズとは国際標準化機構(ISO)と国際電機標準機構(IEC)が共同で策定するISMSのベストプラクティスです。規格要求事項であるISO27001を取り巻くISO27000シリーズ構成は以下の通りです。
■ ISO/IEC 27000 ISMS規格についての概要と基本用語集(2009年発行)
■ ISO/IEC 27001 組織のISMSを認証するための要求事項(2005年発行)
■ ISO/IEC 27002 ISMS実践のための規範 ISO/IEC 27003 - ISMS 実装ガイド(2010年発行)
■ ISO/IEC 27004 情報セキュリティの測定(2009年発行)
■ ISO/IEC 27005 情報セキュリティのリスクマネジメント (2008年発行)
この他にもISMSに関する規格があり、また様々な規格が今後策定されつつあります。
発行済み規格
■ ISO/IEC 27006 認証/登録プロセスの要求仕様(2007年発行)
■ ISO/IEC 27011 ISMS の通信業界への適用に関する手引き(X.1051)(2007年発行)
発行予定規格
■ ISO/IEC 27007 ISMS 監査の指針(主にマネジメントシステム)
■ ISO/IEC 27008 ISMS 監査の指針(主にセキュリティ制御)
■ ISO/IEC 27013 ISO/IEC 20000-1とISO/IEC 27001の統合
■ ISO/IEC 27014 情報セキュリティガバナンスの枠組み
■ ISO/IEC 27015 金融及び保険サービスセクターに対するISMS
■ ISO/IEC 27031 事業連続性のための情報通信技術準備
■ ISO/IEC 27032 サイバーセキュリティの手引き
■ ISO/IEC 27033 情報技術ネットワークのセキュリティ
■ ISO/IEC 27034 アプリケーションセキュリティの手引き
ISO27001において情報資産とは「組織活動において影響を与える、価値がある事象」と定義されています。非常に抽象的な表現で、「じゃあどこまで資産管理台帳に洗い出せば良いの?」となりますが、これを含めなければならない、というような明確な決まりはなく「自分たちで決める」と言うことになります。
企業活動においての情報資産は大きく4つのカテゴリーに分けて考えると整理し易くなります。
保有情報・紙・電子媒体 |
紙の記録・書類・電子データ |
ソフトウェア資産 |
ソフトウェア関連 |
物理的資産 |
パソコン・サーバ・その他事業継続に欠かせない機器 |
サービス・その他無形資産 |
企業ノウハウ・特許 |
※ 2014年4月1日現在で4,493(JIPDEC)の組織がISMS認証制度に登録されています。
ISO27001取得のコツへ ISO27001コンサルティング実績はこちら
HOME ISO27001とは ISO27001取得のメリット ISO27001取得支援サービス ISO27001取得フロー ISO27001認証取得費用
東京本社
〒101-0051
東京都千代田区神田神保町3-25-11
喜助九段ビル 7F
TEL 03-3263-4521
FAX 03-3263-4522
大阪オフィス
〒540-0012
大阪府大阪市中央区谷町3-4-5
リアライズ谷町ビル 7F
TEL 06-6949-0550
FAX 06-6949-0551
福岡オフィス
〒812-0023
福岡県福岡市博多区奈良屋町14-20
ベスト大博ビル7F
TEL 092-403-5900
FAX 092-403-5901
スリープロサポート株式会社
サテライトコンサルタント
北海道、仙台、神奈川、千葉、名古屋、京都、徳島、兵庫、広島、山口、熊本、佐賀、宮崎、長崎
