Information Security Management System 日本における ISMS活動状況について 財団法人 日本情報処理開発協会 情報セキュリティ部 ISMS制度推進室 室長 高取 敏夫 2004年11月18日 http://www.isms.jipdec.jp Copyright JIPDEC ISMS, 2004 1 Information Security Management System 目 次 ISMS適合性評価制度の現状について ISMSの国際動向について Copyright JIPDEC ISMS, 2004 2 Information Security Management System ISMS適合性評価制度の現状について ISMS適合性評価制度の目的 ISMS適合性評価制度の適合基準 ISMS適合性評価制度の運用 認証基準・ガイドの一覧 基準・規程・手順の一覧 審査登録機関の認定の流れ 認定されたISMS審査登録機関 審査員研修機関の認定の流れ 認定されたISMS審査員研修機関 評価希望事業者の認証・登録の流れ 認証取得事業者数推移 検討課題 Copyright JIPDEC ISMS, 2004 3 Information Security Management System ISMS適合性評価制度の目的 情報セキュリティマネジメントシステム(Information Security Management System:以下ISMSという)適合性 評価制度は、国際的に整合性のとれた情報セキュリティ マネジメントに対する第三者適合性評価制度である。 本制度は、わが国の情報セキュリティ全体の向上に貢 献するとともに、諸外国からも信頼を得られる情報セ キュリティレベルを達成することを目的としたものである。 Copyright JIPDEC ISMS, 2004 4 Information Security Management System ISMS適合性評価制度の適合基準 ISO/IEC Guide 61およびEA 3/08 適合基準 認定機関 (認証機関および審査登録機関の認定審査ならび に認定機関に対する一般要求事項: General requirements for assessment and accreditation of certification/registration bodies) 認定(Accreditation) 審査登録機関 (認証機関) 適合基準 ISO/IEC Guide 62およびEA 7/03(認定基準) (品質システム審査登録機関に対する一般要求事項: General requirements for assessment and accreditation of certification/registration of quality management systems) 認証(Certification) 適合基準 評価希望事業者 ISMS認証基準(Ver.2.0) (BS 7799-2::Information security management systems-Specification with guidance for use ) Copyright JIPDEC ISMS, 2004 5 Information Security Management System ISMS適合性評価制度の運用 申請③ 審査登録機関 ⑦ISMS審査員資格基準 審査② ⑧ISMS審査員登録の手順 (認証) 申請 審査① (認証) 審査員評価登録機関 JIPDEC ISMS審査員 評価登録室 評価⑦ 認定機関 申請⑧ 認定機関 (JIPDEC) (JIPDEC/ISMS制度推進室) 審査員希望者 ①ISMS認証基準 ④ISMS審査員研修機関認定基準 ②ISMS審査登録機関認定基準 ③ISMS審査登録機関認定の手順 ⑤ISMS審査員研修コース基準 ⑥ISMS審査員研修機関認定の手順 証明書 発行 受講 申請⑥ 評価希望事業者 意見・苦情等 審査員研修機関 審査④⑤ (認定) Copyright JIPDEC ISMS, 2004 6 Information Security Management System 認証基準・ガイドの一覧 文書名 文書番号 概要 ISMS認証基準 (Ver.2.0) JIP-ISMS100-2.0 英国規格BS 7799-2:2002に基づき作成したもので、 本基準で使用する用語、表現については、JIS X 5080:2002(国際規格ISO/IEC 17799:2000)との互 換性を確保し、第三者である審査登録機関が本制度 の認証を希望する事業者の適合性を評価するための 基準。 ISMSユーザーズ ガイド JIP-ISMS111-1.0 ISMS認証基準(Ver2.0)の要求事項について一定の 範囲でその意味するところを説明しているガイド。 ISMSユーザーズ JIP-ISMS113-1.0 ガイド -リスク マネジメント編- ISMSユーザーズガイドを補足し、リスクマネジメン トとりわけリスクアセスメント及びその結果に基づ くリスク対応についての理解を深めるためのガイド。 ISMS構築事例集 既にISMS認証を取得した事業者の構築事例を、イン タビューを基にまとめたもの。 JIP-ISMS112-1.1 Copyright JIPDEC ISMS, 2004 7 基準・規程・手順の一覧 文書名 Information Security Management System 文書番号 概要 ISMS審査登録機関認定基準 JIP-ISAC100-1.0 審査登録機関の認定審査及び登録を行う際の認定基準 ISMS審査登録機関認定の手順 JIP-ISAC110-1.2 審査登録機関が認定を受けるための手順 ISMS審査登録機関認定の手引 JIP-ISAC111-1.0 申請から登録までと登録維持の標準的な流れと条件を示 したもの ISMS審査員研修機関認定基準 JIP-ISAC200-1.0 審査員向けの研修を行う研修機関の認定審査及び登録を 行う際の認定基準 ISMS審査員研修コース基準 JIP-ISAC220-1.0 審査員研修コースの内容について定めた基準 ISMS審査員研修機関認定の手順 JIP-ISAC210-1.2 審査員研修機関が認定を受けるための手順 ISMS審査員研修機関認定の手引 JIP-ISAC211-1.0 申請から登録までと登録維持の標準的な流れと条件を示 したもの ISMS審査員の資格基準 JIP-ISAC400-1.0 審査員等(審査員補、審査員、主任審査員)についての 資格基準 ISMS審査員登録の手順 JIP-ISAC410-1.2 審査員等を登録する手順 ISMS審査員の資格基準に対する 補足 JIP-ISAC401-1.0 ISMS審査員の資格基準を補完したもの。 ISMS審査員評価登録機関認定 基準 JIP-ISAC300-1.0 ISMS審査員評価登録機関の認定審査及び登録を行う際の 認定基準。 ISMS認定マーク使用規程 JIP-ISAC510-1.3 認定マークの表示及び適用条件等について定めた規程 Copyright JIPDEC ISMS, 2004 8 Information Security Management System 審査登録機関の認定の流れ 申請 受理・契約 書類 審査 事務所 審査 立会 審査 認定・登録 ●認定審査に用いられる基準は、ISMS審査登録機関認定基準(ISO/IEC Guide62及 びEA 7/03準拠) による。 ●申請に必要な条件や手順はISMS審査登録機関認定の手順及び手引による。 ●認定審査において不適合の指摘事項があった場合は、是正処置または是正計画 を提出し、妥当性が確認された後に認定となる。 Copyright JIPDEC ISMS, 2004 9 Information Security Management System 認定されたISMS審査登録機関 認定番号 2004年10月14日現在 2004年10月14日現在 機 関 名 称 ISR001 財団法人 日本品質保証機構 マネジメントシステム部門 ISR002 日本検査キューエイ 株式会社 ISR003 株式会社 ケーピーエムジー審査登録機構 ISR004 ビーエスアイジャパン 株式会社 ISR005 財団法人 日本科学技術連盟 ISO審査登録センター ISR006 財団法人 日本規格協会 審査登録事業部 ISR007 株式会社 日本情報セキュリティ認証機構 ISR008 デット ノルスケ ベリタス エーエス DNV認証事業 日本支社 ISR009 株式会社エヌ・ティ・ティ エムイーマネジメントシステム審査登録センタ ISR010 株式会社中央青山審査登録機構 ISR011 社団法人 日本能率協会 審査登録センター ISR012 ペリージョンソン レジストラー 株式会社 ISR013 財団法人電気通信端末機器審査協会 ISMS審査登録センター ISR014 株式会社トーマツ審査評価機構 Copyright JIPDEC ISMS, 2004 10 Information Security Management System 審査員研修機関の認定の流れ 申請 受理・契約 書類 審査 事務所 審査 立会 審査 認定・登録 ●認定審査に用いられる基準は、ISMS審査員研修機関認定基準及びISMS審査員 研修コース基準による。 ●申請に必要な条件や手順はISMS審査員研修機関認定の手順及び手引による。 ●認定審査において不適合の指摘事項があった場合は、是正処置または是正計画 を提出し、妥当性が確認された後に認定となる。 Copyright JIPDEC ISMS, 2004 11 Information Security Management System 認定されたISMS審査員研修機関 2004年10月14日現在 2004年10月14日現在 認定番号 IST001 IST002 IST003 機 関 名 称 株式会社 テクノファ (テクノファ) 株式会社 エル・エム・ジェイ・ジャパン (LMJ) ビーエスアイジャパン 株式会社 (BSI-J) IST004 ケイピーエムジー・エムエムシー株式会社研修事業部 (JISO) IST006 IST007 IST008 IST009 IST010 IST011 リコー・ヒューマン・クリエイツ 株式会社 リコー情報セキュリティ研究センター (R-ISaP) NTTソフトウェア 株式会社 (NTT SOFT) 株式会社 グローバルテクノ (GTC) 日本電気株式会社 Eラーニング事業部 (NEC) 株式会社 日本環境認証機構 (JACO) 社団法人 中部産業連盟 ISO事業推進部 (中産連) IST012 中央青山PwCコンサルティング株式会社 中央青山PwCビジネススクール (CBS) IST013 株式会社 アーク (アーク) Copyright JIPDEC ISMS, 2004 2004年2月20日現在 2004年2月20日現在 12 Information Security Management System 評価希望事業者の認証・登録の流れ 申請 受理・契約 Stagel (文書審査) Stage2 (実地審査) 認証・登録 ●認証審査に用いられる基準は、ISMS認証基準による。 ●申請時に必要な条件や審査手順は審査登録機関により多少異なる場合がある。 Copyright JIPDEC ISMS, 2004 13 Information Security Management System 認証取得事業者数推移 600 累計 500 406 400 434 450 469 489 508 527 546 549 496 358 306 300 200 135 151 19 19 8月 9月 10 月 登録 19 3 月 20 11 19 7月 3月 16 200 4年 28 6月 2月 48 5月 28 4月 24 1 月 19 12 月 7月 13 27 11 月 6月 11 33 25 10 月 11 9月 16 8月 16 5月 4月 37 1 月 3 18 3月 10 273 98 2月 12 12 月 6 80 3年 55 11 月 7月 49 11 10 月 6月 9月 63 8月 3 20 6 38 18 77 67 189 202 167 178 254 200 200 2年 4 月 0 14 8 5月 100 227 330 登録 累計 Ver.2.0累計 2004年11月17日現在 Copyright JIPDEC ISMS, 2004 14 Information Security Management System 検討課題 認定機関の審査能力(認定審査員の力量) 技術的専門性、規格の知識、審査実績、継続的能 力開発 審査登録機関の審査能力(ISMS審査員の力量) 技術的専門性、規格の知識、審査実績、継続的能 力開発 認定制度の相互承認 Copyright JIPDEC ISMS, 2004 15 Information Security Management System ISMSの国際動向について ISMS認証基準制定の経緯 ISO/IEC JTC1/SC27の編成 IUGとの関連図 各国毎のBS 7799登録証発行数 Copyright JIPDEC ISMS, 2004 16 Information Security Management System ISMS認証基準制定の経緯 1999年4月 2000年4月 2001年4月 2002年4月 2003年4月 2004年4月 2005年4月 ISO/IEC 17799:2000 (2000年12月) 英国規格 BS7799-1 JIS化 JIS X 5080 (2002年2月) ISMS認証基準 (Ver.0.8) (2001年4月) ISMS認証基準 (Ver.1.0) (2002年4月) 2003年9月 まで可能 注1 英国規格 BS7799-2 2004年9月 で廃止 注2 ISMS認証基準(Ver.2.0) (2003年4月)注3 (改訂) BS 7799-2:2002 (2002年9月) 注1:Ver.1.0による初回審査は2003年9月 30日まで可能。 注2:Ver.1.0は、は2004年9月30日で廃止。 注3:ISMS認証基準(Ver.2.0)は、英国規格 BS 7799-2:2002をベースとし、用語、表現につ いては、JIS X 5080:2002との互換性を確保。 ISMS 検討期間 ISMS パイロット事業 ISMS本格運用 Copyright JIPDEC ISMS, 2004 17 Information Security Management System ISO/IEC JTC1/SC27の編成 ISO/IEC JTC1/SC27 ISO/IEC 1/SC27 ISO/IECJTC JTC1/SC27 Information Information Informationtechnology technology Security techniques Security Securitytechniques techniques WG1 WG1 Requirements, Security Services, Security Services, Guidelines 情報セキュリティマネジメント (ISO/IEC 17799, GMITS TR 13335, TTP,IDS等) WG2 WG2 Securitytechniques techniques Security and mechanisms mechanisms and ・暗号アルゴリズムの標準化 ・暗号をベースとした セキュリティメカニズム (認証、署名等) WG3 WG3 Security Evaluation Evaluation criteria セキュリティ評価基準 Copyright JIPDEC ISMS, 2004 (ISO/IEC 15408) 18 Information Security Management System IUGとの関連図 認証取得 事業者リスト 英文ISMS認証取得事業者リスト (審査登録機関の了承を得た分のみ: 345事業者) ISMS IUG 翻訳 ISMSジャーナル 日本における ISMSの動向 インド BS 7799 認定機関 UKAS等 認定 英国 香港&マカオ オーストラリア BS 7799認証取得 事業者情報 ポーランド シンガポール 韓国 ドイツ カナダ ブラジル ノルウェー 日本IUG支部 米国 サポート スウェーデン 各国IUG支部(設立予定含む) JIPDEC ISMS制度推進室 認定 BS 7799審査登録機関 (現在27機関) BSI,BVQI,Certification Europe, CIS,DNV,DQS,JACO-IS等 認証 ISMS審査登録機関 (現在14機関) JQA,JICQA,KPMG,BSI-J,JUSE-ISO,JSA, JACO-IS, DNV, MEMSRC,CCR,JMAQA,PJRJ,JATE,TECO : 情報の流れ : 今後の予定 BS 7799認証取得事業者 2004年10月14日現在 認証 ISMS認証取得事業者 Copyright JIPDEC ISMS, 2004 19 Information Security Management System 各国毎のBS7799登録証発行数 出 典 :http ://w w w .xisec.com / 2004年 11月 10日 現 在 ※ J IP D E C − IS M S も 含 む 。 国名 国名 発行登録証数 国名 発行登録証数 発行登録証数 日本 449 ノル ウ ェ ー 9 アラブ首長国連邦 2 英国 168 中 国 8 コロンビア 1 インド 60 オ ー ス トリ ア 4 エジプト 1 ドイツ 33 ア イス ラ ンド 4 レ バ ノン 1 韓国 30 ポ ー ラ ンド 4 ル クセンブルク 1 台湾 30 ス ウ ェ ー デ ン 4 マカオ 1 イタリア 17 ス イス 4 マレーシア 1 オランダ 17 ブ ラ ジ ル 3 モ ロッコ 1 香港 15 ギ リ シ ャ 3 カター ル 1 米国 12 メキ シ コ 3 スロベニア 1 オ ー ス トラ リ ア 11 ア ル ゼ ンチ ン 2 南 アフリカ共和国 1 フィンランド 11 ベ ル ギ ー 2 R e la tiv e T o ta l 959 シンガポー ル 11 デ ンマ ー ク 2 A b so lu te T o ta l 950 ハンガリー 10 ス ペ イン 2 アイル ランド 9 サウジアラビア 2 絶 対 総 数 (A bso lu te T o tal)は 、 実 際 の 認 証 取 得 事 業 者 数 を 表 し て い ま す 。 相 対 総 数 (R elative T o tal)は 、 認 証 の 適 用 範 囲 が 複 数 の 国 に か か る 登 録 (m u lti-n atio n registratio n s)又 は 重 複 登 録 (du al registratio n )を 反 映 し て い ま す 。 © IS M S In tern a tio n a l U ser G ro u p 20 0 2 -2 0 0 4 Copyright JIPDEC ISMS, 2004 20 Information Security Management System ご静聴ありがとうございました (財)日本情報処理開発協会 情報セキュリティ部 ISMS制度推進室 Tel: 03-3432-9386 FAX: 03-3432-6200 E-mail: [email protected] Web: http://www.isms.jipdec.jp/ Copyright JIPDEC ISMS, 2004 21
© Copyright 2024 ExpyDoc
