|
|
|
ISMS制度の概要 |
|
認定の適用範囲を限定し、あらゆる情報の安全性を保証
経緯 情報セキュリティに関する英国規格BS7799-1と、これをISO化したISO/IEC 17799 に準拠して、2001年にISMS認証基準が作られ、02年から本格運用が開始された。現在は、BS7799-2をベースに、ISO規格をJIS化したJIS X 5080との互換性を確保したISMS認証基準(Ver.2.0) が適用され、この基準を満たした組織を認定し、登録する仕組みになっている。
対象 適用範囲を設定できるため、組織全体でも部門単位でも申請できる。大学の場合は、学部や大学院、特定の事務組織などの単位で認定を取得することも可能。
申請先 (財)日本情報処理開発協会が認定する機関(現在18機関)。
審査内容 ISMS(Information Security Management System)の名称通り、情報資産を保護するマネジメントシステムが機能しているかどうかを、ISMS認証基準で審査するもので、品質管理システム規格(ISO Q 9001)や環境管理システム規格(ISO Q 14001)との整合性もとられている。審査を受けるためには、ISMSを当該組織内で確立しなければならない。その具体的な要求事項は10領域127項目に及ぶ。具体的には「情報セキュリティ基本方針」「組織のセキュリティ」「資産の分類及び管理」「人的セキュリティ」「物理的及び環境的セキュリティ」「通信及び運用管理」「アクセス制御」「システムの開発及び保守」「事業継続管理」「適合性」の領域がある。
文書審査・実地審査を経て認定・登録されると、登録番号を付したロゴマークの使用が許可される。
期間 3年間。1年に最低1回のサーベランスと、3年ごとの更新審査を継続的に受ける必要がある。審査料金は、審査機関との契約に基づき、個別に決定する。
現状 累計651社が認定を取得(2月22日現在)。大学では、南山大学名古屋キャンパス・瀬戸キャンパス、静岡大学総合情報処理センター、京都大学大学院医学研究科(医療経済学分野)が取得済み。
|
|
|