特集 ISOとは何か 新入社員のためのISOガイド2006
ISMSの歴史
ISMSとは
ISMS(情報セキュリティマネジメントシステム)とは、個別の問題ごとの技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである(JIPDEC)。
BS7799
情報セキュリティの運用管理に関する基準としては、英国規格協会 (BSI:British Standard Institution) が1995年に作成したBS7799が長年事実上の標準となっていた。
BS7799はBS7799-1とBS7799-2の二部構成であり、BS7799-1は管理分野ごとに実施すべき(should)実施基準、BS7799-2には実施しなければならない(shall)要求事項と管理策127項目(附属書)が列記されている。
ISMS認証基準
その後、(財)日本情報処理開発協会(JIPDEC)のISMS適合性評価制度が運用を開始したが、その認証基準であるISMS認証基準はBS7799-2をもとに作られている。2001年に開始されたパイロット事業(37事業所が認証取得)ではISMS認証基準Ver.0.8が使用され、制度が正式運用を開始した2002年4月にVer.1.0が公表され、2003年4月に経営陣の責任を強化し、PDCAサイクルによる改善を明記したVer.2.0へと改訂された。このISMS適合性評価制度は、日本国内の認証取得事業者数が1,376と今なお急増中である(2006年3月8日現在)。
ISO化
BS7799-1はその後2005年6月の改訂でISO/IEC(以後ISOと簡略表記) 17799:2005となったが、2007年4月にISO27002:2007(JISQ27002:2005)と改名される。そしてBS7799-2はISO27001:2005として2005年10月に国際規格化されている(JISQ27001: 2006は2006年4月発行予定)。ISO27001への改訂の際、企業にセキュリティ管理策の有効性の測定が要求され、管理策(附属書)が133 項目に増加している。
移行期間
BS7799-2からの移行については、2005年10月から6ヵ月間の準備期間(2006年4月14日)中はISO27001とBS7799-2のどちらかを選択して新規認証基準として使用できるが、その後の12ヵ月間の移行期間では新規認証審査、継続審査、更新審査はISO27001のみとなり、移行期間が終了する2007年4月にBS7799-2は廃止され、認証の効力を失う。
ISMS 認証基準(Ver.2.0)からの移行については、JISQ27001が発行される2006年4月(予定)から6ヵ月間の準備期間(2006年10月)まではISO27001とISMS 認証基準(Ver.2.0)のどちらかを選択して新規認証基準として使用できるが、その後の12 か月間の移行期間では新規認証審査、継続審査、更新審査はISO27001のみとなり、移行期間が終了する2007年10月にISMS 認証基準(Ver.2.0)は廃止され、認証の効力を失う。
■BS7799との関係
<アイソムズ 2006年4月号掲載>
