Information Security Management System ISMS適合性評価制度の …

Copyright JIPDEC ISMS, 2005 1

ISMSISMS適合性評価制度の適合性評価制度の最新状況報告最新状況報告

財団法人日本情報処理開発協会

情報セキュリティ部 ISMS制度推進室

２００５年３月

http://www.isms.jipdec.jp

Information Security Management System

JIPDECの許可なく転載することを禁じます


目次

ISMS適合性評価制度の現状

ISMSの国際動向




ＩＳＭＳ適合性評価制度の現状

ISMS適合性評価制度の目的

ISMS適合性評価制度の適合基準

ISMS適合性評価制度の運用

JIPDEC（組織運営機構）

ISMS適合性評価制度の事業実施状況

活動成果

認証基準・ガイドの一覧

基準・規程・手順の一覧

認定されたISMS審査登録機関

認定されたISMS審査員研修機関

認証取得事業者数推移

機関別認証取得事業者数

地域別認証取得事業者数

都道府県別認証取得事業者数

ISMS審査員登録者数推移

ISMSのメリット



ISMS適合性評価制度の目的

情報セキュリティマネジメントシステム（Information Security Management System：以下ISMSという）適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントに対する第三者適合性評価制度である。

本制度は、わが国の情報セキュリティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的としたものである。


ISMS適合性評価制度の適合基準


ISO/IEC Guide 62およびEA 7/03(認定基準)(品質システム審査登録機関に対する一般要求事項：General requirements for assessment and accreditation of certification/registration of quality management systems)

ISMS認証基準（Ver.2.0）(BS 7799-2:：Information security management systems-Specification with guidance for use )

審査登録機関（認証機関）

認定機関適合基準ISO/IEC Guide 61およびEA 3/08

（認証機関および審査登録機関の認定審査ならびに認定機関に対する一般要求事項：

General requirements for assessment and accreditation of certification/registration bodies)

認定（Ａｃｃｒｅｄｉｔａｔｉｏｎ）

適合基準

評価希望事業者

認証（Ｃｅｒｔｉｆｉｃａｔｉｏｎ）

適合基準



ISMS適合性評価制度の運用

証明書発行

受講

認定機関 (JIPDEC)認定機関

（JIPDEC/ISMS 制度推進室 )申請

意見・苦情等

申請③

評価⑦審査①

（認証）

申請⑧

審査④⑤

（認定）

申請⑥

評価希望事業者審査員研修機関

審査登録機関

審査員希望者

審査員評価登録機関JIPDEC

ISMS 審査員評価登録室

審査②

（認定）

①ISMS認証基準④ISMS審査員研修機関認定基準

⑤ISMS審査員研修コース基準

⑥ISMS審査員研修機関認定の手順

⑦ISMS審査員資格基準

⑧ISMS審査員登録の手順

②ISMS審査登録機関認定基準

③ISMS審査登録機関認定の手順

証明書発行

受講

認定機関 (JIPDEC)認定機関

（JIPDEC/ISMS 制度推進室 )認定機関 (JIPDEC)認定機関

（JIPDEC/ISMS 制度推進室 )申請

意見・苦情等

申請③

評価⑦審査①

（認証）

申請⑧

審査④⑤

（認定）

申請⑥

評価希望事業者審査員研修機関

審査登録機関

審査員希望者

審査員評価登録機関JIPDEC

ISMS 審査員評価登録室

審査②

（

①ISMS認証基準④ISMS審査員研修機関認定基準

⑤ISMS審査員研修コース基準

⑥ISMS審査員研修機関認定の手順

⑦ISMS審査員資格基準

⑧ISMS審査員登録の手順

②ISMS審査登録機関認定基準

③ISMS審査登録機関認定の手順


JIPDEC（組織運営機構）Information Security Management System

上級経営者上級経営者

ISMS事業統括責任者

ISMS事業統括責任者

外部認定審査員外部認定審査員

内部監査内部監査

判定委員会判定委員会

運営委員会運営委員会

技術専門部会技術専門部会

登録・業務部門登録・業務部門審査部門審査部門

（注）ISMS制度推進室の組織運営機構は、ISO/IEC Guide61を準用


ISMS適合性評価制度の事業実施状況Information Security Management System

4月５月６月７月８月９月１０月１１月１２月１月２月３月

運営委員会

技術専門部会

法規適合性

に関する

ISMS

ガイド

（仮称

）

業種別ガイド

委員会等

認証基準系のガイド等の作成

説明会

普及広報活動

FAQ

ISMS

構築事例集

リスク

マネジメント編

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　第１回　　　　　　　　　　　　　　　　第２回　　　　　　　　　　　　　　　　　　　　　　　　　　第３回　　　　　　　　　　　　　　第４回　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　●　　　　　　　　　　　　　　　　　　　●　　　　　　　　　　　　　　　　　　　　　　　　　　●　　　　　　　　　　　　　　　　 ●　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　9/10　　　　　　　　　　　　　　　　　11/10　　　　　　　　　　　　　　　　　　　　　　2/1 　　　　　　　　　　予定

随時更新

J004公開( 6/24) ●

●本文公開（4/2）

●J007公開（10/6）

●付録１公開（7/12）

●情報セキュリティシンポジウム10/5

　第１回　　第２回　　　第３回　　　　　　　第４回　　　　　　　　　　　　　　第５回　　　第６回　　　　　　　　　　第７回　　　第８回　　　　　　　　　　　　第９回　第10回　　　　　　第11回　　　　　　　第12回　　　　▲　　　　　▲　　　　　▲　　　　　　　　　　▲　　　　　　　　　　　　　　　　▲　　　　　　▲　　　　　　　　　　　　▲　　　　　 ▲　 ▲　　　▲　　 ▲　　　　　　　　　 ▲　　　　4/28 　 5/18　　　6/2　　　　　　　　　7/16　　　　　　　　　　　　　　 9/3　　　　　9/28　　　　　　　　　　11/4　　　11/24　　　　　　　　　　　　　1/6　　1/19　　　　　　　　　2/22　　　　　　　　　予定

ISMSユーザーズガイド　－リスクマネジメント編－

随時更新

●公開11/8

－医療機関向けー　ISMSユーザーズガイドー

作成

－ISMS構築事例集－（随時更新中）J006公開( 7/5) ●

●J005公開（9/3）

現在公開中事例（V1）のV2移行

　　　　　　●10/28　●11/11　●11/24　●12/16　　　●1/11　　　●1/26　●2/8　●2/18

4/1公開予定

●12/10 ●12/14大阪　　　　東京　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　全国（５ヶ所）予定

●


活動成果 ISMSユーザーズガイド－リスクマネジメント編－

• リスクマネジメントの理解を深めるためのガイドを作成(2004年4月公開)

• リスクマネジメント事例を付録１として作成(2004年7月公開)

医療機関向けISMSユーザーズガイド• 医療機関を対象としたISMSユーザーズガイドを作成(2004年11月公開）

ISMS構築事例集• 13事業者の事例を掲載

法規適合性に関するISMSユーザーズガイド• 法規適合性を前提として、個人情報保護法を例に法的リスクへの対応方法をISMSの側面から

解説

FAQ（よくある質問）• ISMS認証基準に関するお問合せに対してFAQで回答を作成

説明会• ISMSの普及広報活動として国内主要地区で説明会を開催



認証基準・ガイドの一覧Information Security Management System

医療機関向けのISMS構築のためのガイド。（MEDIS-DC監修）JIP-ISMS114-1.0医療機関向け

ISMSユーザーズガイド

ISMS認証基準（Ver2.0）の要求事項について一定の範囲でその意味するところを説明しているガイド。

JIP-ISMS111-1.0ISMSユーザーズガイド

英国規格BS 7799-2:2002に基づき作成したもので、本基準で使用する用語、表現については、JIS X 5080：2002（国際規格ISO/IEC 17799：2000）との互換性を確保し、第三者である審査登録機関が本制度の認証を希望する事業者の適合性を評価するための基準。

JIP-ISMS100-2.0ISMS認証基準（Ver.2.0)

既にISMS認証を取得した事業者の構築事例を、インタビューを基にまとめたもの。

JIP-ISMS112-1.1ISMS構築事例集

ISMSユーザーズガイドを補足し、リスクマネジメントとりわけリスクアセスメント及びその結果に基づくリスク対応についての理解を深めるためのガイド。

JIP-ISMS113-1.0ISMSユーザーズガイド

-リスクマネジメント編-

概要文書番号文書名


基準・規程・手順の一覧Information Security Management System

ISMS認定マーク使用規程

ISMS審査員評価登録機関認定基準

ISMS審査員の資格基準に対する補足

ISMS審査員登録の手順

ISMS審査員の資格基準

ISMS審査員研修機関認定の手引

ISMS審査員研修機関認定の手順

ISMS審査員研修コース基準

ISMS審査員研修機関認定基準

ISMS審査登録機関認定の手引

ISMS審査登録機関認定の手順

ISMS審査登録機関認定基準

文書名

申請から登録までと登録維持の標準的な流れと条件を示したもの

JIP-ISAC211-1.0７

申請から登録までと登録維持の標準的な流れと条件を示したもの

JIP-ISAC111-1.0３

ISMS審査員評価登録機関の認定審査及び登録を行う際の認定基準。

JIP-ISAC300-1.011

認定マークの表示及び適用条件等について定めた規程JIP-ISAC510-1.312

ISMS審査員の資格基準を補完したもの。JIP-ISAC401-1.010

審査員等を登録する手順JIP-ISAC410-1.2９

審査員等（審査員補、審査員、主任審査員）についての資格基準

JIP-ISAC400-1.0８

審査員研修機関が認定を受けるための手順JIP-ISAC210-1.2６

審査員研修コースの内容について定めた基準JIP-ISAC220-1.0５

審査員向けの研修を行う研修機関の認定審査及び登録を行う際の認定基準

JIP-ISAC200-1.0４

審査登録機関が認定を受けるための手順JIP-ISAC110-1.2２

審査登録機関の認定審査及び登録を行う際の認定基準JIP-ISAC100-1.0１

概要文書番号№


認定されたISMS審査登録機関Information Security Management System

2005年２月23日現在2005年２月23日現在

認定番号機関名称認定番号機関名称

ISR001 財団法人日本品質保証機構マネジメントシステム部門（JQA）

ISR010株式会社中央青山審査登録機構（CCR）

ISR002日本検査キューエイ株式会社（JICQA）

ISR011 社団法人　日本能率協会　審査登録センター（JMAQA）

ISR003 株式会社ケーピーエムジー審査登録機構（KPMG RJ）

ISR012ペリージョンソンレジストラー株式会社（PJRJ）

ISR004ビーエスアイジャパン株式会社（BSI-J）

ISR013 財団法人電気通信端末機器審査協会ＩＳＭＳ審査登録（JATE）

ISR005 財団法人日本科学技術連盟ISO審査登録センター（JUSE-ISO Center）

ISR014株式会社トーマツ審査評価機構（TECO）

ISR006 財団法人日本規格協会審査登録事業部（JSA）

ISR015テュフ・ラインランド・ジャパン株式会社（TUV)

ISR007 株式会社日本情報セキュリティ認証機構（JACO-IS）

ISR016 株式会社　マネジメントシステム評価センター（MSA）

ISR008 ﾃﾞｯﾄﾉﾙｽｹﾍﾞﾘﾀｽｴｰｴｽ DNV認証事業日本支社（DNV）

ISR017株式会社ジェイーヴァック（J-VAC）

ISR009 株式会社ｴﾇ･ﾃｨ･ﾃィｴﾑｲｰﾏﾈｼﾞﾒﾝﾄ審査登録ｾﾝﾀ（MEMSRC）

ISR018ビーブイキューアイジャパン株式会社（BVQI）



認定されたISMS審査員研修機関

2005年２月23日現在2005年２月23日現在

認定番号機関名称認定番号機関名称

ISR001株式会社テクノファ（テクノファ）

ISR009 日本電気株式会社　Ｅラーニング事業部（NEC Eラーニング事業部）

ISR002 株式会社エル･エム･ジェイ･ジャパン（LMJ）

ISR010株式会社　日本環境認証機構（JACO）

ISR003ビーエスアイジャパン株式会社（BSI-J）

ISR011 社団法人　中部産業連盟　ＩＳＯ事業推進部（中産連）

ISR004 ケーピーエムジー・エムエムシー株式会社(JISO)

ISR012 中央青山ＰｗＣコンサルティング株式会社中央青山ＰｗＣビジネススクール（CBS）

ISR006 リコー・ヒューマン・クリエイツ株式会社リコー情報セキュリティ研究センター（R-ISaP）

ISR013株式会社　アーク

ISR007 エヌ・ティ・ティ・ソフトウェア株式会社（NTTSOFT）

ISR014 財団法人　日本科学技術連盟ISO研修事業部（日科技連　ISO研修）

ISR008 株式会社グローバルテクノ（GTC）


認証取得事業者数推移Information Security Management System

2005年３月４日現在

3 14 24 32 4482

157

291

391470

582642

5016

78

136

179228

307

408

472

531

622

700

0

100

200

300

400

500

600

700

800

2002年　 6月 9月 12月

2003年　3月 6月 9月 12月

2004年　3月 6月 9月 12月

2005年3月

V2.0累計累計予測


機関別認証取得事業者数Information Security Management System


202

29

22

230

29

18

74

9

6

5

12

7

11

8

0

3

4

0

0 50 100 150 200 250

JQA

JICQA

KPMG RJ

BSI-J

JUSE-ISO

JSA

JACO-IS

DNV

MEMSRC

CCR

JMAQA

PJR

JATE

TECO

TuV

MSA

J-VAC

BVQI


地域別認証取得事業者数


北海道東北関東

中部近畿中国四国

九州沖縄

１４件２９件

４２６件５９件７４件１８件

７件３２件

５件

合計６６４件

関東64%

中部9%

近畿11%

中国3%

四国1%

九州5%

沖縄1%

北海道2% 東北

4%




都道府県別認証取得事業者数


北海道 1 4 青森 4 茨城 6 富山 6 福井 5岩手 2 栃木 3 石川 9 滋賀 0宮城 8 群馬 4 岐阜 12 京都 8秋田 3 埼玉 1 1 愛知 30 大阪 51山形 5 千葉 1 7 三重 2 兵庫 9福島 7 東京 3 0 9 奈良 0

神奈川 4 8 和歌山 1新潟 5山梨 5長野 6静岡 1 2

小計 1 4 29 4 2 6 5 9 7 4

鳥取 0 徳島 0 福岡 1 6 沖縄 5 県報告なし 5島根 3 香川 2 長崎 3岡山 6 愛媛 3 佐賀 0広島 6 高知 2 熊本 7山口 3 大分 2

宮崎 0鹿児島 4

小計 1 8 7 3 2 5 5

合計

注：

中国

6 69

四国その他

本データは、 J IP D E C に報告された認証取得事業者の所在地を基に作成しており、関連事業所の所在地は含まれていません。

東北近畿北海道関東中部

沖縄九州


ISMS審査員登録者数推移Information Security Management System

2005年２月23日現在

＊集計は、2004年11月まで。

99 0

31 4

49 8

1 ,0 7 1

318

500

1 ,1 1 9

3 18

5 01

1 ,1 8 3

319

501

1 , 2 7 1

3 19

5 01

1 , 3 3 9

3 20

5 02

1 , 4 2 2

3 22

5 03

1 ,4 7 2

32 3

50 3

1 , 5 1 5

3 23

5 05

0

500

1,000

1,500

2,000

2,500

2002.5～

2004.3

2004.4 2004.5 2004.6 2004.7 2004.8 2004.9 2004.10 2004.11

審査員補審査員主任審査員


ISMSのメリット

□ISMSを構築・運用するメリット技術面及び人間系の運用・管理面の総合的なセキュリティ対策が実現できる。

・社員のスキル向上、責任の明確化、緊急事態の対処能力の向上など。

総合的マネジメントの視点から、効率的なセキュリティ対策が実施できる。

・費用対効果を考えた資産管理、リスクマネジメントの定着など。

＊上記の活動を継続することにより、セキュリティ意識の向上などの効果が期待できる。

□ISMS認証を取得するメリット対外的には、情報セキュリティの信頼性を確保できる。

・顧客や取引先からのセキュリティに関する要求事項の満足など。

内部的には、事業競争力の強化につながる。

・入札条件や電子商取引への参加の条件整備など。




ISMSの国際動向

ISMS認証基準制定の経緯

ISO/IEC JTC1/SC27の構成

ISO/IEC 17799：2000の改訂

ISMS国際規格化

IUGとの関連図

各国毎のBS 7799登録証発行数


ISMS認証基準制定の経緯Information Security Management System

２００３年４月１９９９年４月２０００年４月２００１年４月２００２年４月

BS 7799-2：2002（2002年9月）

JIS X 5080(2002年2月）

ISMS認証基準（Ver.1.0）

（2002年4月）

ISO/IEC 17799：2000（2000年12月）

（改訂）

英国規格BS7799-1

英国規格BS7799-2

２００４年４月

ISMS認証基準（Ver.2.0）（2003年4月）注３

２００５年４月

ISMSパイロット事業

ISMS本格運用ISMS

検討期間

JIS化

ISMS認証基準（Ver.0.8）

（2001年4月）

2003年9月まで可能

注1

2004年9月で廃止

注2

注1：Ver.1.0による初回審査は2003年9月

30日まで可能。

注2：Ver.1.0は、は2004年9月30日で廃止。

注3：ISMS認証基準(Ver.2.0)は、英国規格BS 7799-2:2002をベースとし、用語、表現については、JIS X 5080:2002との互換性を確保。


ISO/IEC JTC1/SC27の構成


WG2Security techniques

and mechanisms

ISO/IEC JTC1/SC27Information technology

Security techniques


Security techniques

WG3Security Evaluation

criteria

WG1Requirements,

Security Services,Guidelines

WG2

Security techniques

and mechanisms


Security techniques

ISO/IEC JTC 1/SC27

Information technology

Security techniques

WG3

Security evaluation

criteria

WG1

Requirements,

Security Services

and guidelines

情報セキュリティマネジメント（ISO/IEC 17799,GMITS TR 13335,

TTP,IDS等）

ITセキュリティ評価基準

（ISO/IEC 15408）

・暗号アルゴリズムの標準化

・暗号をベースとしたセキュリティメカニズム

（認証、署名、鍵管理、否認防止等）


ISO/IEC 17799：2000の改訂Information Security Management System

1st CDへの

コメント検討・反映

9/6– 2/18


＊規格作成のプロセスは、ISO/IEC JTC1 Directive に準拠している。＊ISO/IEC 17799:2000の改訂については、現時点での推測である。

April 2004Oct. 2002 April 2003 Oct. 2003 Oct. 2004 April 2005Oct. 2001 April 2002

第25回

ポーランドワルシャワISO SC27

第27回

フランスパリ

ISO SC27

第30回オーストリア

ウィーンISO SC27

総会

第29回

ブラジルフォルタレザISO SC27

第28回

（シンガポール）ISO SC27

総会

2ndCD投票

2/19－5/19

FCD投票

6/17– 10/1

April 2001

早期改訂承認の可否投票

6/26－8/27

EDの配付・

検討・反映

12/10－6/25

改訂版EDの

配付・コメント募集

6/26－9/19

改訂版EDの


9/19－6/5

1st CD投票

6/6－9/5

ISO/IEC 17799

改訂作業

Stage 2作成段階

Stage 3委員会段階

コメント検討・反映10/2-11/29

FDIS投票2ヶ月11/30-1/31


早期改訂の承認

注 ED （Editor’s Document）CD （Committee draft）FCD （Final Committee draft）FDIS （Final Draft International Standard）

第23回

韓国ソウル

ISO SC27

第26回カナダ

ケベックISO SC27

総会

第22回デンマーク

オスロISO SC27

総会

第24回ドイツ

ベルリンISO SC27

総会

Oct. 2005

第31回マレーシアISO SC27

規格発行

Stage 5発行段階

Stage 4承認段階


ISMS国際規格化Information Security Management System

正当性調査（Justification Study）*G72

NP投票7/1 – 10/1

規格案コメント募集7/1 – 9/30

FCD投票（JTC1内）11/30-3/31

FDIS投票

（ISO全体）

2ヶ月

規格発行

＊規格作成のプロセスは、ISO/IEC JTC1 Directive に準拠している。＊ISMS国際規格化については、現時点での推測である。

Stage 4承認段階

Stage 0準備段階

Stage 1・2提案段階作成段階

注 CD （Committee draft）FCD （Final Committee draft）FDIS （Final Draft International Standard）

Oct. 2003

第27回

フランスパリ

ISO SC27

April 2004

第28回

（シンガポール）ISO SC27

総会

Oct. 2004 April 2005

第30回オーストリア

ウィーンISO SC27

総会

第29回

ブラジルフォルタレザISO SC27

Oct. 2005

第31回（マレーシア）ISO SC27

April 2006

第32回

ISO SC27総会

コメント検討・反映等


Oct. 2006

第33回

ISO SC27

Stage 3委員会段階


ISMS仕様

Stage 5発行段階


IUGとの関連図Information Security Management System

英文ISMS認証取得事業者リスト（審査登録機関の了承を得た分のみ：４２３事業者）

ISMS IUG ISMSジャーナル

英国

米国

ドイツ

香港＆マカオ

インド韓国

スウェーデンシンガポール

日本IUG支部

翻訳認証取得

事業者リスト

JIPDECISMS制度推進室

BS 7799認証取得

事業者情報

：情報の流れ：今後の予定

ISMS審査登録機関

（現在１８機関）JQA，JICQA，KPMG，BSI-J，JUSE-ISO，JSA,JACO-IS， DNV, MEMSRC，

CCR,JMAQA,PJRJ,JATE,TECO, TüV, MSA,J-VAC,BVQI

BS 7799審査登録機関(現在３２機関）

BSI，BVQI，Certification Europe，CIS，DNV，DQS，JACO-IS等

ISMS認証取得事業者

BS 7799認定機関

UKAS等

認定

BS 7799認証取得事業者

認定

2005年２月23日現在

認証認証

各国IUG支部（設立予定含む）

サポート

日本におけるISMSの動向

ブラジル

オーストラリア

カナダ

ノルウェー

ポーランド


各国毎のBS7799登録証発行数Information Security Management System

出典： h t t p :/ / w w w .x is e c .c o m /※ J IP D E C － IS M S も含む。 2 0 0 5 年 2 月 1 5 日現在

国名発行登録証数国名発行登録証数国名発行登録証数

日本 5 1 0 ノルウェー 9 マレーシア 2

英国 1 8 5 スウェーデン 6 コロンビア 1

インド 8 2 オーストリア 5 チェコ共和国 1

台湾 4 5 スイス 5 エジプト 1

ドイツ 3 6 アイスランド 4 レバノン 1

韓国 3 1 ポーランド 4 ルクセンブルク 1

イタリア 2 3 ブラジル 3 マカオ 1

オランダ 1 8 ギリシャ 3 マケドニア 1

香港 1 7 メキシコ 3 モロッコ 1

米国 1 5 サウジアラビア 3 カタール 1

フィンランド 1 2 スペイン 3 スロバキア 1

オーストラリア 1 1 アラブ首長国連邦 3 スロベニア 1

中国 1 1 アルゼンチン 2 南アフリカ共和国 1

ハンガリー 1 1 ベルギー 2

アイルランド 1 1 デンマーク 2 R e la t iv e T o t a l 1 1 0 7

シンガポール 1 1 マン島 2 A b s o l u t e T o t a l 1 0 9 8

絶対総数 ( A b s o lu t e T o t a l ) は、実際の認証取得事業者数を表しています。

相対総数 ( R e la t iv e T o t a l ) は、認証の適用範囲が複数の国にかかる登録（ m u lt i- n a t io nr e g is t r a t io n s ）又は重複登録（ d u a l r e g is t r a t io n ）を反映しています。© IS M S I n t e r n a t io n a l U s e r G r o u p 2 0 0 2 - 2 0 0 4


ご静聴ありがとうございました

(財)日本情報処理開発協会

情報セキュリティ部 ISMS制度推進室

Tel: 03-3432-9386

FAX: 03-3432-6200

E-mail: [email protected]

Web: http://www.isms.jipdec.jp/


Information Security Management System ISMS適合性評価制度の …

Documents

Transcript of Information Security Management System ISMS適合性評価制度の …