bco_logo_960x60.png

HOME > サービス&インフォメーション > マネジメントシステム

マネジメントシステム

oim021-s.jpg

ISMS(情報セキュリティマネジメントシステム)

ISO/IEC27001(JIS Q 27001)

ISOは国際標準化機構(International Organization for Standardization)の定める電気分野を除く工業分野の国際規格であり、IECは電気及び電子技術分野の国際規格を作成する国際電気標準会議(International Electrotechnical Commission)を指します。ISOとIECが共同で策定した規格はISO/IECと表記され、情報セキュリティマネジメントシステムはISO/IEC27001などと表記されます。日本ではJISマークでおなじみの日本工業規格においてマネジメントシステムの規格が定められており、ISO/IEC27001とJIS Q 27001は整合性が保たれています。(正式な表記は後ろに年号がつけられます)

ISMS構築・運用のポイント

ISOにおけるマネジメンとシステムはプロセスアプローチという考え方が基本で、インプットをアウトプットに変換するプロセスの組合せにより方針や目的を達成するという取り組みになります。これらは必要に応じて文書化して記録を残し、内部監査等有効性を評価して見直しを行うといういわゆるPDCAを繰り返して継続的改善を行っていくことになります。

ISMSを構築・運用する上で重要なのはリスクアセスメントとリスク対応です。組織が取り扱う情報や情報処理施設といった情報資産に対して重要性を機密性、完全性、可用性の観点から評価し、それらを損なうリスクに対して分析した上、適切なリスク対応をおこなってリスクを受容水準以下に抑えることが求められます。リスク対応策は27001の附属書A「管理目的及び管理策」を考慮した上で適用宣言書にまとめる必要があります。

情報セキュリティならではの特徴として、管理策には物理的対策(オフィスや機器)、システム的な対策(ソフトウェア、ネットワーク)といった技術的な要素も多く含まれており、セキュリティ事故(インシデント)発生の際の手順もまとめておかなければなりません。

ISMS認証を受けるには

ISMS(ISO27001)の認証を受けるには、ISO/IEC27001(JIS Q 27001)に適合したISMSを構築・運用して、審査機関の審査にパスしなければなりません。現在、日本ではISMSの認証審査を行う審査機関は26あり(一般財団法人日本情報経済社会推進協会登録の審査機関)、自社に合った審査機関を選定して審査を受けます。審査は初回審査では一次、二次に分かれて行われ、認証後は3年毎に更新審査があります。また、毎年1回ないし2回維持審査(サーベイランス)を受けることも必要になります。ISMSの認証審査に合格するためには、認証規格への適合、及び適切な運用について文書類及び運用記録の閲覧、現場視察等により評価されます。

BCOのISMSコンサルティング

BCOでは、多数のISMS(規模、業種業態)への経験を元に、審査員の視点と現場の視点両面から、適材適所なツールを活用しながら、組織のニーズに合ったコンサルティングを提供します。2013年10月1日に発行されたISO/IEC27001:2013にもいち早く対応していますので、新規格でのISMS構築、認証審査受審、旧規格からの移行にも完全対応が可能です。また、移行には最大2年の猶予がありますので、組織の実情に応じたスケジューリングもアドバイス致します。さらに、ISO27001の改訂により、今後改訂される他のISO規格との共通の部分が増えてきますので、MSの統合がしやすくなるとともに、リスクアセスメントに対する要求事項も整理されているので、同じくリスク分析を必要とするPMSとも統合するメリットが生まれてくるでしょう。当オフィスではMSの統合や運用面での共通化、文書や記録の簡素化についてもご支援致します。

PMS(個人情報保護マネジメントシステム)

PMSは、個人情報保護のためのマネジメントシステムです。個人情報保護に関連した法律として2005年に個人情報保護法が制定されており、行政機関や業界ごとに運用上のガイドラインが作られていますが、これとは別に、プライバシーマーク制度というのが1998年より運用されていて、こちらの方ではJIS Q 15001というJIS規格に基づいたマネジメントシステムの構築、運用状況を審査することによりマークが付与されています。

プライバシーマークとJIS Q 15001

プライバシーマーク(Pマーク)は、個人情報の保護、管理を適切に行っていると認められた事業者に付与される認定のマークです。プライバシーマークをとるためには、JIS規格(JIS Q 15001)に沿って個人情報保護の仕組み(PMS)を作って運用し、審査を受けて合格しなければなりません。付与されたプライバシーマークは、名刺やホームページ、パンフレット等に表示することができます。

マークの有効期間は2年間で、更新のためには更新審査を受ける必要があります。また、重大な漏えい事故や、違反があるとマークの取り消しや使用停止の処分を受けることがあります。

PMS構築・運用のポイント

プライバシーマークは法人ごとに付与されるため、代表者を頂点としたトップダウン型の体制を作ってマネジメントシステムを推進していく必要があります。実際の活動の中心は個人情報保護管理者となりますが、代表者によって内部から任命された者があたります。

・PMS構築手順

  1. どのような個人情報を扱っているか洗い出し、リスク分析をする。
  2. リスク分析の結果を踏まえ、個人情報保護のルールを作る。
  3. ルールを周知するために全従業者に教育を行う。
  4. ルールに従ってPMSを運用し、記録を取る。
  5. 内部監査を行い、問題点があれば是正する。
  6. PMS全体の見直し(代表者による見直し)を行う。

プライバシーマーク認証を受けるには

・受審のながれ

  1. 審査機関を選定する。
  2. Pマーク認定の申請書を作成し、審査機関に提出する。
  3. 審査機関により審査を受け、指摘事項があれば改善する。
  4. 改善が認められれば認定され、Pマークが使用できるようになる。

BCOのPMSコンサルティング

・60社以上のコンサル実績
・審査員との交流もあり
・WindowsもMacもLinuxもわかります。
・システムとマネジメントのバランスを考慮
・組織にあった、経営に活かすMSの提案

関連情報

シンヨコDays

shinyoko2.jpg新横浜周辺における活動記録と個人目線による各種スポット・グルメ情報

※ただいま準備中

SOHOの窓

P8250961.jpgSOHO&ノマドワークに役立つ(かもしれない)情報

※ただいま準備中