ISO情報

新・世界標準ISOマネジメント(第30回)

平林良人「新・世界標準ISOマネジメント」(2003年)アーカイブ 第30回

3.3.3 JIPDEC基準

  • 1)ISMS認証基準Ver.1.0
  • JIPDECのISMS認証基準Ver.1.0は、2002年4月にISO/IEC 17799:2000(JIS X 5080)を基に、かつBS7799-2:1999を参考にして作成された。この基準は2001年8月から開始されたパイロット事業のISMS認証ガイドVer.0.8に引き続き制定された本格的な認証基準であった。
  • ISMS認証基準Ver.1.0の内容は別表の通りである。
  • ISMS認証基準Ver.1.0
  • 1.適用範囲
  • 2.用語及び定義
  • 3.ISMS要求事項
    • 1. 一般
    • 2. マネジメントの枠組みの確立
    • 3. 管理策の実施
    • 4. 文書化
    • 5. 文書管理
    • 6. 記録
  • 4.詳細管理策
    • 1. セキュリティポリシー
    • 2. セクリティ組織
    • 3. 情報資産の分類及び管理
    • 4. 人的セキュリティ
    • 5. 物理的及び環境的セキュリティ
    • 6. 通信及び運用管理
    • 7. アクセス制御
    • 8. システムの開発及びメンテナンス
    • 9. 事業継続管理
    • 10. 準拠
  • 2)JIP-ISMS 100-2.0(ISMS認証基準Ver.2.0)
  • 2002年10月、BS7799-part2規格は、ISO9001:2000規格に準拠すべく改訂されBS7799-2:2002となった。これに伴い、2003年4月 JIPDECのISMS認証基準Ver.1.0もISO9001:2000規格をベースとするものに改訂され、JIP-ISMS 100-2.0となった。JIP-ISMS 100-2.0は、BS7799-2:2002に基づくとともに、用語、表現については、JIS X 5080:2002、ISO/IEC17799:2000と互換性を確保している。
  • JIP-ISMS 100-2.0の内容は別表の通りである。
  • JIP-ISMS 100-2.0
    • 0. 序文
    • 1.適用範囲
    • 2.引用規格等
    • 3.用語及び定義
    • 4.情報セキュリティマネジメントシステム
    • 5.経営陣の責任
    • 6.マネジメントレビュー
    • 7.改善
  • 付属書「詳細管理策」
    • 1. はじめに
    • 2. 実践規範への手引き
    • 3. 情報セキュリティ
    • 4. 組織のセキュリティ
    • 5. 資産の分類及び管理
    • 6. 人的セキュリティ
    • 7. 物理的及び環境的セキュリティ
    • 8. 通信及び運用管理
    • 9. アクセス制御
    • 10. システムの開発及び保守
    • 11. 事業継続管理
    • 12. 適合性
  • なお、詳細管理策の3.~12.に記載されている管理目的及び管理策のリストは、JIS X 5080:2002を参照している。
  • また、JIP-ISMS 100-2.0の特徴は次の通りである。
  • 1)リスクマネジメント
  • JIP-ISMS 100-2.0規格の主要な要求事項は、情報セキュリティポリシー、管理目的、管理策、システム運用(実施)、さらには情報セキュリティ文書をはじめとするシステム文書、文書管理及び記録管理に関するものである。
  • これらに加えて重要視されているのがリスクマネジメントである。ISMSにおけるリスクマネジメントは、次のような順序で実施される。
  • ISMSにおけるリスクマネジメント
    • (Step1)情報セキュリティポリシーを策定する。
    • (Step2)その中でISMSの適用範囲を決定する。
    • (Step3)策定した情報セキュリティポリシーに基づきリスク評価を実施する。
    • (Step4)マネジメントシステムもとで管理するリスクを決定する。
    • (Step5)最適なリスク評価に基づき、実施すべき管理策を選択する。
  • この中に出てくる、リスク、リスク評価という用語は次のように説明されている。
  • リスク、リスク評価
  • リスク:ある脅威が、資産または資産グループの脆弱性を利用して資産への損失または損害を与える可能性。
  • リスク評価:リスクの重大さを決定するために、算定されたリスクを与えられたリスク基準と比較するプロセス。
  • 2)情報資産の機密性、完全性、可用性
  • 組織の情報資産の機密性、完全性、可用性をバランスよく維持し、改善することは、ISMS要求事項の主要なコンセプトである。
  • ISMSはシステムの構築、運用を要求しているが、マネジメントは、個別の技術対策に加えて、自らのリスク評価による必要セキュリティレベルを決めなければならない。この際に情報資産の機密性、完全性、可用性は重要なコントロールポイントである。
  • 情報資産の機密性、完全性、可用性とは次のようなものをいう。
  • 情報資産の、完全性、可用性
    • 機密性:アクセスを許可された者だけが、情報にアクセスできることを確実にすること。
    • 完全性:情報及び処理方法が、正確であること及び完全であることを保護すること。
    • 可用性:認可された利用者が、必要なときに情報及び関連する資産にアクセスできることを確実にすること。
  • 近年の「情報」の重要性の高まりと、「情報」の漏洩・改ざん・滅失・不正使用のリスクの増大は、ますます情報セキュリティマネジメントの重要性を高めてきた。
  • ISMSの構築とは、その情報セキュリティマネジメントという抽象的な概念を、組織の個々の具体的制度とし、組織統制上の仕組みとして組み込んでいく一連の作業・プロセスのことを云う。
  • 情報セキュリティマネジメントは、このようにISMSという具体的な制度として実体化して初めて、社会的に実効性を備えたものとなる。
  • 3)PDCA
  • JIP-ISMS 100-2.0規格の基本的な構造は、PDCAで出来ている。
  • Plan:組織の全般的なポリシー及び目標に沿った結果を出すための、リスクマネジメント及び情報セキュリティの改善に関連する情報セキュリティ基本方針、目標、対象、プロセス及び手順を確立する。
  • Do:その情報セキュリティポリシー、管理策、プロセス及び手順を実施し運用する。
  • Check:情報セキュリティ基本方針、目標及び実際の経験に照らしてプロセスの実施状況を評価し、可能な場合これを測定し、その結果を見直しのために経営陣に報告する。
  • Act:ISMSの継続的な改善を達成するために、マネジメントレビューの結果に基づいて是正処置及び予防処置を講ずる。