視点
ISMSのISO化、企業のCSRに活用
2005/10/24 16:41
週刊BCN 2005年10月24日vol.1110掲載
情報セキュリティマネジメントシステム(ISMS)の認証基準がISO(国際規格)化される。今まで日本情報処理開発協会(JIPDEC)が英国規格BS7799-2を元にISMS認証基準(現在はバージョン2)を制定して、JIPDECが認定した審査登録機関が事業者を審査して、事業者のISMSを認証登録してきた。
しかしISMSがISOでないためJIPDECの私的な基準にすぎないとも言われた。また、プライバシーマーク認定の前提である個人情報保護に関するコンプライアンス・プログラムの要求事項がJIS Q 15001として国家規格になっているのに比べ、ISMSはISO化もJIS化もされていなく、格が低いと誤解されることもあった。
それがやっとISO化され、ISO/IEC 27001:2005となる。また、すでにISO化されていた詳細管理策のガイドISO/IEC 17799:2000は、一緒に改訂されISO/IEC 17799:2005となる。
将来は番号17799を27002に変え、情報セキュリティマネジメント関係を27000シリーズに統合予定とのことである(この進捗はJIPDECホームページで参照できる)。
これで、ISO9001品質マネジメントシステムやISO14001環境マネジメントシステムと同等の扱いになる。ISMSでは、情報の安全確保の他に事業継続が求められている。事業継続とは、予期しない業務中断が発生した時に重要な業務を一定時間内に復旧して、お客へのサービスの中断を最小限にすることを目的とする。
そのために、業務の中断リスクを事前に想定して、そのリスクが現実化した時に備えて対応手順を事業継続計画として確立するものである。万一大地震などの災害や火災または大事故などの被害を受けても、企業の社会的責任として、お客から預かった情報の保護やお客へのサービスを継続するものである。
このような情報の安全確保と事業継続は、社会インフラを担う企業ではもちろん必要であるが、一般企業でもCSR(企業の社会的責任)対応の一環で取り組みが期待される。
ISMSのISO化に伴って、よりISMSへの取り組みがしやすくなったこの機会に、ISMS取り組みを検討することが期待される。
しかしISMSがISOでないためJIPDECの私的な基準にすぎないとも言われた。また、プライバシーマーク認定の前提である個人情報保護に関するコンプライアンス・プログラムの要求事項がJIS Q 15001として国家規格になっているのに比べ、ISMSはISO化もJIS化もされていなく、格が低いと誤解されることもあった。
それがやっとISO化され、ISO/IEC 27001:2005となる。また、すでにISO化されていた詳細管理策のガイドISO/IEC 17799:2000は、一緒に改訂されISO/IEC 17799:2005となる。
将来は番号17799を27002に変え、情報セキュリティマネジメント関係を27000シリーズに統合予定とのことである(この進捗はJIPDECホームページで参照できる)。
これで、ISO9001品質マネジメントシステムやISO14001環境マネジメントシステムと同等の扱いになる。ISMSでは、情報の安全確保の他に事業継続が求められている。事業継続とは、予期しない業務中断が発生した時に重要な業務を一定時間内に復旧して、お客へのサービスの中断を最小限にすることを目的とする。
そのために、業務の中断リスクを事前に想定して、そのリスクが現実化した時に備えて対応手順を事業継続計画として確立するものである。万一大地震などの災害や火災または大事故などの被害を受けても、企業の社会的責任として、お客から預かった情報の保護やお客へのサービスを継続するものである。
このような情報の安全確保と事業継続は、社会インフラを担う企業ではもちろん必要であるが、一般企業でもCSR(企業の社会的責任)対応の一環で取り組みが期待される。
ISMSのISO化に伴って、よりISMSへの取り組みがしやすくなったこの機会に、ISMS取り組みを検討することが期待される。
- 1
