情報セキュリティ入門

ISMS適合性評価制度

ISMS（Information Security Management System）とは、個別の問題ごとの技術対策にくわえて、組織のマネジメントとして、リスク評価を行い、必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用していくことです。

組織が保護すべき情報資産について、「機密性」「完全性」「可用性」をバランスよく維持し改善することが、情報セキュリティマネジメントシステム(ISMS)の要求する主なコンセプトです。そしてセキュリティポリシーを策定し、PDCAのサイクルを継続的に繰り返し、情報セキュリティレベルのスパイラルアップを図っていくことが求められています。

マネジメント枠組みに関するISMSの要求事項は、情報セキュリティポリシー、管理目的、管理策、システム運用、さらには情報セキュリティ文書をはじめとするシステム文書、分所管理及び記録管理に関するものです。

ISMSの適合性評価制度の枠組みですが、唯一の認定機関である（財）日本情報処理開発協会（JIPDEC）が、審査登録機関にマネジメント審査に対する認証登録義務の実施許可の認定を付与します。

2002年から本格運用が始まり、2003年にBS7799-2:2002に基づいたISMS認証基準（Ver.2.0）が公表され、BS7799-2のISO/IEC27001化にともない、ISMSもISO/IEC27001へ移行されました。