認証の信頼性確保~適合性評価制度~
認証の信頼性を維持するために
マネジメントシステム認証の信頼性確保の枠組み
適合性評価制度
認証を公正に運用するために、国際的な枠組みが定められています。これをマネジメントシステムの「適合性評価制度」と呼んでいます。
マネジメントシステム適合性評価制度の種類
当協会では情報に関する以下のマネジメントシステム適合性評価制度の普及啓発を実施しています。
ISMS
Information Security Management System(情報セキュリティマネジメントシステムの略)。
ISMSとは、情報のCIA(「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」)を保護するための、体系的な仕組みです。
これは、情報が漏えいしないようにし(機密性)、改ざんや誤りがないようにし(完全性)、そして必要なときに必要な人が利用できるようにする(可用性)ということです。ISMSには、技術的対策だけでなく、従業員の教育・訓練、組織体制の整備なども含まれます。
認証基準:JIS Q 27001:2014
情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項
(ISO/IEC 27001:2013 Information technology -Security techniques-Information security management systems-Requirements)
ISMSクラウドセキュリティ
通常のISMS認証に加えて、クラウドサービス固有の管理策(ISO/IEC 27017)が 適切に導入、実施されていることを認証する仕組みとしてISMSクラウドセキュリティ認証があります。これは、企業や一般ユーザが、安心してクラウドサービスを利用できることを目的としています。
認証基準:ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に 関する要求事項(JIP-ISMS517-1.0)
(ISO/IEC 27017:2015 Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services)
ITSMS
IT Service Management System(ITサービスマネジメントシステム)の略。
ITSMSとは、サービス提供者が、情報システムによって提供する機能やプロセスなどのサービスを管理し、継続的に改善していくための仕組みです。
ITSMSを導入することによって、サービス提供者はITサービスの品質を維持・向上することができます。
認証基準:JIS Q 20000-1:2012
情報技術-サービスマネジメント-第1部:サービスマネジメントシステム要求事項
(ISO/IEC 20000-1:2011 Information technology - Service management - Part 1:Service management system requirements)
BCMS
Business Continuity Management System(事業継続マネジメントシステム)の略。
地震や火災、新型インフルエンザといった自然災害、人的災害、取引先の破綻、システム障害等の業務の中断・阻害に対応するためには、事業継続計画(BCP)策定が必要となります。
BCMSとは、こうした環境の変化に対し、BCPを最新で有効に維持・管理する仕組みです。BCSMSを導入することによって、BCPの運用を経営の仕組みと一体化させ、様々な環境の変化に応じた見直しを行い、効率的、効果的に維持・改善し続けることができます。
認証基準: JIS Q 22301:2013
社会セキュリティ-事業継続マネジメントシステム-要求事項
(ISO 22301:2012 Societal security - Business continuity management systems - Requirements)
CSMS
Cyber Security Management System(サイバーセキュリティマネジメントシステム)の略。
CSMS(Control Systems Security Management Systems)とは、産業用オートメーション及び制御システム(IACS:Industrial Automation and Control System)を対象としたサイバーセキュリティ(注)のマネジメントシステムです。
IACSは、電力、ガス等のエネルギー分野、鉄道等の交通インフラなど、様々な産業基盤を支える制御システムです。こうした社会インフラを支えるIACSをサイバー攻撃から守るためのセキュリティ対策を適切に管理する上で、CSMSの導入は極めて重要です。
(注) 重要なシステム又は情報資産に対する無許可での使用、サービス不能攻撃、改変、開示、収益の逸失、又は破壊を防止するために要求されるアクション(「CSMS認証基準(IEC 62443-2-1)(JIP-CSCC100-1.0)」による)
認証基準:CSMS認証基準(IEC 62443-2-1:2010) JIP-CSCC100-2.0
(IEC 62443-2-1:2010 Industrial communication networks — Network and system security – Part2 -1:Establishing an industrial automation and control system security program)
これらのマネジメントシステム及び適合性評価制度の詳細については、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)のWebサイトをご参照下さい。