Web教材一覧法規・基準

ISO27001、JIS Q 27001、ISMS適合性認定制度の関係

キーワード

ISO27001、JIS Q 27001、ISMS適合性認定制度、情報セキュリティ監査制度


ISMSの評価基準は、ISOやJISの規格になっており、第三者機関が審査する制度もあります。

JIS Q 27001、ISO/IEC27001
JIS Q 27001/27002は、ISO/IEC 27001/27002を日本語訳にしたもので、内容は同じです。
 次の2つの規格があります。
   JIS Q 27001(情報セキュリティマネジメントシステム-要求事項)
   JIS Q 27002(情報セキュリティマネジメント-実践のための規範)
JIS Q 27001(要求事項)は、組織がISMSを実践していることを監査・認証するときに、評価の基準となる項目を列挙したものです。監査・認証を目的とせずに、組織がISMSを適切に導入、維持、向上するときの参考資料としても利用できます。
JIS Q 27002(実践規範)の目的は、ISMSを導入・運用するときに、どの組織にも利用できる、一般的な手引を提供するものです。ISMSを実践するときに管理すべき事項を列挙し、その管理目的と複数の管理策、それぞれの管理策の実施の手引、注意事項などを示しています。
ISMS適合性認証制度
ISMS適合性評価制度は、企業等の組織が構築したISMSがJIS Q 27001(ISO/IEC 27001)に適合しているかを、専門的な認証機関が審査し、審査に合格した組織を登録する制度です。
 審査申請をした組織に対して、セキュリティ関連文書による文書審査と、それが実践されていることを確認する実地審査を行い、合格したときには認定書を発行し、ISMS適合性マークの使用が認められます。また、原則として3年ごとに更新審査を行い、その間に維持・改善が行われたことが求められます。
情報セキュリティ監査制度
情報セキュリティ監査制度は、組織の情報セキュリティに関して監査を行い、保証と助言を行う制度です。これもJIS Q 27001に準拠しており、ISMS適合性認証制度と似ていますが、次のような違いがあります。
        ISMS適合性認証制度 情報セキュリティ監査制度
   準拠規格  JIS Q 27001       同左
   性格    審査・認証       監査・助言
   機関    認証機関        指定なし
   特典    認証書・マークの利用  特になし
   有効期間  3年ごとの更新審査   規定なし
 それで、ISMSを導入した当初の頃は、情報セキュリティ監査制度により助言を受けつつ成熟度を高め、ある程度の成熟度に達した段階で、ISMS適合性認証制度により認証を受けるようにするのが適切です。

本シリーズの目次へ