情報セキュリティ監査基準、情報セキュリティ管理基準
ITが組織体の活動や社会生活に深く浸透することに伴い、情報セキュリティの確保は、組織体が有効かつ効率的に事業活動を遂行するための必要な条件、安全・安心な社会生活を支えるための基盤要件となっていることから、経済産業省は情報セキュリティ監査制度を策定しています。
これには、主な基準として、情報セキュリティ管理基準(平成20年改正版)と情報セキュリティ監査基準(平成15年)があり、それらに関係する多数のガイドラインなどがあります。
情報セキュリティ管理基準は、「マネジメント基準」と「管理策基準」から構成されます。マネジメント基準では、情報セキュリティマネジメントの計画、実行、点検、処置に必要な実施事項を定めており、管理策基準は、組織に情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えています。
マネジメント基準の内容
1 情報セキュリティマネジメントの確立
1.1 適用範囲の定義
1.2 基本方針の策定
1.3 リスクアセスメント
1.4 管理策の選択
2 情報セキュリティマネジメントの導入と運用
2.1 リスク対応計画
2.2 管理策の実施
2.3 情報セキュリティマネジメントの運用管理
2.4 教育、訓練、意識向上および力量
3 情報セキュリティマネジメントの監視およびレビュー
3.1 有効性の継続的改善
3.2 監視及びレビューの準備
3.3 管理策の有効性評価
3.4 情報セキュリティマネジメントの継続性評価
4 情報セキュリティマネジメントの維持および改善
4.1 改善策の導入
4.2 是正処置
4.3 予防処置
5 文書管理および記録の管理
5.1 文書化
5.2 文書管理
5.3 記録の管理
管理策基準の内容
1 セキュリティ基本方針
1.1 情報セキュリティ基本方針
2 情報セキュリティのための組織
2.1 内部組織
2.2 外部組織
3 資産の管理
3.1 資産に対する責任
3.2 情報の分類
4 人的資源のセキュリティ
4.1 雇用前
4.2 雇用期間中
4.3 雇用の終了又は変更
5 物理的及び環境的セキュリティ
5.1 セキュリティを保つべき領域
5.2 装置のセキュリティ
6 通信及び運用管理
6.1 運用の手順及び責任
6.2 第三者が提供するサービスの管理
6.3 システムの計画作成及び受入れ
6.4 悪意のあるコード及びモバイルコードからの保護
6.5 バックアップ
6.6 ネットワークセキュリティ管理
6.7 媒体の取扱い
6.8 情報の交換
6.9 電子商取引サービス
6.10 監視
7 アクセス制御
7.1 アクセス制御に対する業務上の要求事項
7.2 利用者アクセスの管理
7.3 利用者の責任
7.4 ネットワークのアクセス制御
7.5 オペレーティングシステムのアクセス制御
7.6 業務用ソフトウェア及び情報のアクセス制御
7.7 モバイルコンピューティング及びテレワーキング
8 情報システムの取得、開発及び保守
8.1 情報システムのセキュリティ要求事項
8.2 業務用ソフトウェアでの正確な処理
8.3 暗号による管理策
8.4 システムファイルのセキュリティ
8.5 開発及びサポートプロセスにおけるセキュリティ
8.6 技術的ぜい弱性管理
9 情報セキュリティインシデントの管理
9.1 情報セキュリティの事象及び弱点の報告
9.2 情報セキュリティインシデントの管理及びその改善
10 事業継続管理
10.1 事業継続管理における情報セキュリティの側面
11 順守
11.1 法的要求事項の順守
11.2 セキュリティ方針及び標準の順守並びに技術的順守
11.3 情報システムの監査に対する考慮事項
情報セキュリティマネジメントに関わる重要な国際規格として、
ISO/IEC 27001(JIS Q 27001) ISMS(情報セキュリティマネジメントシステム)要求事項
ISO/IEC 27002(JIS Q 27002:2006)情報セキュリティマネジメントのための実践規範
があります。また、ISMSに関する第三者認証制度に「ISMS適合性評価制度」があります。
システム管理基準は、それらとの整合性をもっていますが、次の事項に配慮しています。
マネジメント基準では、ISMS認証取得を目指している組織、独自に情報セキュリティマネジメントの確立を検討している組織、情報セキュリティ監査を実施する組織、情報セキュリティ監査を受ける組織など幅広い利用者を想定した記述にすること、情報セキュリティマネジメントの計画、実行、点検、処置の各プロセスで行うべき事項を明確にしています。管理策基準ではJIS Q 27001の附属書A「管理目的及び管理策」をもとに専門家の知見を加えて作成しています。
情報セキュリティ監査には保証型監査と助言型監査があります。保証型監査は、情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査であり、助言型監査は情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査です。
それに対してISMS適合性評価制度は、審査を行い、合格したときに認証と合格マークの使用を許可する制度で、審査員は助言をしないことになっています。
このような関係により、まず情報セキュリティ監査制度により成熟度を高め、一定のレベルに達したときにISMS適合性評価制度により第三者認定を取得するのが適切です。