ISMS取得支援｜Pマーク　ISMSのコンサル　取得は
スリープロサポート株式会社

Pマークコンサルタント：HOME ＞ ISO27001(ISMS)取得支援 ＞ ISMS(ISO27001)とは

　ISMS(ISO27001)とは

　｢情報セキュリティマネジメントシステム（Information security management system）｣（ISMS）とは、物理的、技術的なセキュリティ対策だけでなく、社員の活動・管理面のセキュリティ対策も含めた、組織全体の情報セキュリティ管理を達成するための経営システムの事を言います。故にISMSとは決まったルールは無く、各企業などで独自に構築しているわけですが、ハイレベルで、国際的な統一を図る意図で制定されたISMSの代表的な規格がISO27001（Information security management systems-Requirements）となります。故にISO27001(ISMS)認証取得とは、その組織が構築、運用しているISMSが、ISO27001の要求事項を満たしているという事です。Pマークが個人情報保護のみを対象とした規格に対して、ISO27001 は情報資産全てに総合的なセキュリティ対策を施した規格で、要求事項はマネジメントシステムと付属書Ａから構成されています。
　近年、ファイル交換ソフト「ウィニー」を介した情報漏洩事件や、大手企業等による個人情報漏洩事件が多発しております。このような状況下において、情報セキュリティの確保は個人及び企業にとって最大の課題となっていますす。近年では、企業・組織が情報セキュリティに関する体系化された取り組みと、どの程度情報セキュリティを考慮しているかを評価する基準として、自社のISMSではなく、第三者評価によるISO27001認証が多く利用されています。しかし、独自のISMSを要求（特にカード会社）する企業も多多々あります。正式な規格名は、ISO/IEC　27001: 2005 で、英国のBS 7799-2:2002をベースに2005年10月に発行されました。（現在はISO27001:2013年度版が2013年10月1日に正式発効されています。詳しくはこちらをご覧ください。）

　情報セキュリティに関する規格は、英国で検討が開始され1995に国家規格としBS7799発行されました。その後BS7799はBS7799-1（ベストプラクティス）とBS7799-2（仕様）の2部で構成されることになり、2000年にBS7799 -1が国際規格としてISO/IEC17799:2000として発行されます。
　しかし、ISO/IEC17799は実践規範をまとめたものであり（ベストプラクティス：〜したほうが良い）、認証スキームを規定する規格ではな無いため、BS7799-1:2 002（1999に改定）をベースに2005年10月にISO/IEC27001を発行することになります。それを受けて日本では、翻訳版として、JIS Q 27001が2006年5月に発行されました。

　日本では、（財）日本情報経済社会推進協会（JIDEC）が2001年に、BS7799-2に基づいた認証基準（ISMS V.08)を発行し、日本国内の制度として「ISMS適合性評価制度」を開始しました。その後、認証基準はBS及びISO改定に伴い変更され、現在ではISMS認証基準の国際規格としてISO/IEC27001、および、その日本語化規格JIS Q 27001が発行されたことから、JIS Q 27001を認証基準とした国際的制度へと移行しています。

　ISO27001シリーズとは、国際標準化機構(ISO)と国際電機標準機構(IEC)が共同で策定するISMSのベストプラクティスです。規格要求事項であるISO27001を取り巻くISO27000シーズ構成は以下の通りです。

　■　ISO/IEC 27000　ISMS規格についての概要と基本用語集（2009年発行）

　■　ISO/IEC 27001　組織のISMSを認証するための要求事項（2005年発行）

　■　ISO/IEC 27002　ISMS実践のための規範 ISO/IEC 27003 - ISMS 実装ガイド（2010年発行）

　■　ISO/IEC 27004　情報セキュリティの測定（2009年発行）

　■　ISO/IEC 27005　情報セキュリティのリスクマネジメント (2008年発行)

　この他にもISMSに関する規格があり、また様々な規格が今後策定されつつあります。

　発行済み規格

　■　ISO/IEC 27006　認証/登録プロセスの要求仕様（2007年発行）

　■　ISO/IEC 27011　ISMS の通信業界への適用に関する手引き（X.1051）（2007年発行）

　発行予定規格

　■　ISO/IEC 27007　ISMS 監査の指針（主にマネジメントシステム）

　■　ISO/IEC 27008　ISMS 監査の指針（主にセキュリティ制御）

　■　ISO/IEC 27013　ISO/IEC 20000-1とISO/IEC 27001の統合

　■　ISO/IEC 27014　情報セキュリティガバナンスの枠組み

　■　ISO/IEC 27015　金融及び保険サービスセクターに対するISMS

　■　ISO/IEC 27031　事業連続性のための情報通信技術準備

　■　ISO/IEC 27032　サイバーセキュリティの手引き

　■　ISO/IEC 27033　情報技術ネットワークのセキュリティ

　■　ISO/IEC 27034　アプリケーションセキュリティの手引き

　ISO27001において情報資産とは、「組織活動において影響を与える、価値がある事象」と、とらえられます。非常に抽象的な表現で、「じゃあどこまで資産管理台帳に洗い出せば良いの？」となりますが、これを含めなければならない、というような明確な決まりはなく「自分たちで決める」と言うことになります。
　企業活動においての情報資産は大きく4つのカテゴリーに分けて考えると整理しやすくなります。

　当社にはISO27001の審査資格及びPマークの審査資格を保有する講師が多数在籍し、合否判断はもとより貴社に最適なPMS、ISMSの構築をお手伝いさせて頂きます。