企業や組織にとって情報セキュリティ対策の実施状況を外部に示すことは、信頼を得るために必要不可欠で、そのための有効かつポピュラーな方法として、ISMS認証の取得があります。
とくに官公庁などではISMS認証を取得していることを入札要件としている場合も多く、なかなか重要な認証です。
ISMS認証取得には、規格に合わせた体制構築と運用が必要ですが、この規格にまつわる活動をしている団体として「ISMS-AC」や「JIPDEC」があります。
本記事では、このうち「ISMS-AC」について解説し、あわせてISMSの取得の流れについても解説します。
企業のISMS認証取得をお考えの方へ、思い立ってから取得までの対応をまとめたTodoリストを無料で配布しています。ぜひご確認ください。
ISMS-ACとは
ISMC-ACとは、一般社団法人情報マネジメントシステム認定センターの略称です。
ISMSはInformation Security Management Systemの略であり、和訳すると情報セキュリティマネジメントシステムとなります。
ISMSは企業や組織の情報セキュリティを管理するための仕組みを意味しています。ISMS認証を受けることで、組織の情報セキュリティへの取り組みを示し、外部からの信頼を得ることが可能です。
ISMS-ACは、ISMS認証をはじめとした下記の認証を行う団体の認定機関です。
- ISMS適合性評価制度
- ISMSクラウドセキュリティ認証
- ISMS-PIMS認証
- ITSMS(ITサービスマネジメントシステム)適合性評価制度
- BCMS (事業継続マネジメントシステム)適合性評価制度
- CSMS (サイバーセキュリティマネジメントシステム)適合性評価制度
- IMS要員
そもそもISMSとは
ISMSは、組織の情報セキュリティを確保するための仕組みです。組織では、情報セキュリティ確保のための体制を作り、情報セキュリティを確保するためのルールを策定して、そのルールに沿って運用することまでが情報セキュリティマネジメントシステムには含まれています。
ISMS認証は、このISMSへの取り組みが規格に沿って一定の基準を満たしていることを認証する制度です。ISMSへの取り組みは第三者である認証機関によって審査、認証されます。
ISMSにおける情報セキュリティは、下記の3要素を維持することと定められています。
- 機密性
- 完全性
- 可用性
これらのISMSで定めるべき要求事項については、ISO(国際標準化機構)とIEC(国際電気標準会議)によって定められたISO/IEC 27001という規格が設けられています。
このISO/IEC 27001規格は2022年に改訂されました。これから認証取得をする企業、認証取得済みの企業、両方で対応が必要です。
LRMでは、変更点と対応すべき内容をPDF資料にまとめました。ダウンロードして確認してみてください。
JIPDECとISMS-ACの違い
ISMSの認証および認証を行う団体の認定は、2017年まではJIPDEC(一般財団法人日本情報経済社会推進協会)が実施していました。その後、「認定期間としての独立性を明確にし、引き続き客観性及び公平性のある認定活動を推進」するためISMS専門の機関としてISMS-ACが新たに設立された経緯があります。
そのため、現在では、ISMS-ACはISMS認証機関の認定などを行い、JIPDECではプライバシーマーク関連の認定を行っているという違いになります。
JIPDECとは
JIPDECは一般財団法人日本情報経済社会推進協会の略称です。
JIPDECは以下の目的により設立されました。
目的:電子情報の高度かつ安心安全な利活用に向けた基盤整備や課題解決を通じて、情報経済社会の発展に寄与する
引用元:JIPDEC設立50周年記念誌「情報化の進展とJIPDECの歩み」
主な事業として、下記を行っています。
- プライバシーマーク制度(Pマーク)
- 認定個人情報保護団体
- CBPR認証
- 電子署名法に基づく特定認証業務の調査
- JIPDECトラステッド・サービス登録
- 標準企業コード
- OSIオブジェクト識別子登録・管理
- 調査研究/施策・業務支援
- ISMS・ITSMSの普及
ISMS-ACの必要性
ISMSは第三者である認証機関によって認定されることにより、客観的で公平な視点で規格に沿った情報セキュリティへの取り組みを示すことが可能な仕組みです。この第三者の認証機関を認定するのがISMS-ACであり、認証機関と認定団体の認証者が異なることで客観性や公平性を保持しています。
ISMS認証取得のメリット
ISMS認証の取得は組織や企業にとって、内部的、外部的なメリットが存在します。
- 内部的なメリット
- 社員の情報セキュリティに関する意識向上につながる
- 組織の情報セキュリティ管理体制、情報セキュリティ対策を強化できる
- 経営者の情報セキュリティに関する関与が深まる
- 組織の情報セキュリティレベルを向上し、さらに維持できる など
- 外部的なメリット
- 顧客からの信頼確保につながる
- 企業イメージの向上につながる など
ISMSの取得方法
ISMSの認証を取得する場合の一般的な流れは、下記の通りです。
- 適用範囲の決定
- 情報セキュリティポリシーの策定
- 認証機関の選択
- ISMS体制の構築
- リスクアセスメント
- 情報資産管理台帳の作成
- リスク分析
- リスク対応計画の策定
- 従業員教育
- 内部監査
- マネジメントレビュー
- 認定審査
- 継続的なPDCAサイクルの実施
※ISMS認証取得対象の企業や組織の情報セキュリティ取り組み状況などによって変わる場合があります。
本稿内で言及しているISMS-ACは、上記「3.認証機関の選択」、「9.認定審査」において、ISMS認証を行う機関を認定する機関にあたります。
詳しくはこちらの資料をご覧ください。
ISMS認証取得に向けて
ISMS認証取得のためには、組織内のIT事情に精通した情報セキュリティ担当者の活躍が必須です。ISMS認証という制度についての知識、理解も求められます。
ISMS認証取得に向けて、企業や組織の情報セキュリティ確保に向けた取り組みや、ISMS認証の制度についてお困りの場合は、認証取得コンサルティングサービスを活用することも有効な手段となります。情報セキュリティの専門家によるコンサルティングを受けることで、効率的にISMS認証の取得と運用を構築することが可能です。
LRM株式会社では、ISMS認証取得コンサルティングを提供しています。経験豊富な専門コンサルタントが20名以上在籍し、年間580社以上※・18年の支援実績から確かなノウハウを持っているため、確実なISMS認証取得をサポートします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
まとめ
ISMS-ACとは、情報マネジメントシステム認定センターの略称で、ISMSの認証を行う団体を認定する機関です。企業や組織の情報セキュリティに対する取り組み、仕組みに関してISMSの認証を受けることで、組織の外部からの信頼獲得など様々なメリットがあります。
ISMSの認証取得に向けてはノウハウをもったコンサルティングサービスを活用することも効率的な手段です。