ISMS適合性評価制度、ISO/IEC 27001、JIS Q 27001
ISMS適合性評価制度は、企業等の組織が構築したISMSがJIS Q 27001(ISO/IEC 27001)に適合しているかを、第三者機関が審査し、審査に合格した組織を登録する制度です。
審査を行い認証する機関を認証機関といい、その認証機関を認定する機関を認定機関といいます。日本での認定機関はJIPDEC(日本情報処理開発協会)です。
審査を行うのは認証機関の審査員です。審査員になるには、一定の経験、研修受講、試験合格が必要です。
審査に合格すると、認証機関は申請組織を認証登録し認定機関に通知します。認定機関がそれを公開します。
日本ではISO/IEC 27001をJIS Q 27001として国内規格としているように、各国もISO/IEC 27001と互換性のある国内規格をもち、認定機関があります。認定機関はそれぞれ相互認定しているので、日本で認証を受けたことは世界でも通用するのです。
審査を希望する組織は、認証機関に申請します。認証機関の選択は申請組織の自由です。
申請をするには、適用範囲(審査・認証を受ける範囲)を定め、適用範囲内の保護すべき情報資産を特定し,リスク対策を決めます。そして、それが実際に継続的活動としてマネジメントされていることを示す資料を整理して書類を作成し、認証機関に提出します。
適用範囲は、組織全体が望ましいのですが、大阪支店だけ、営業部門だけ、Web販売事業だけというように、事業所単位、部門単位、事業単位で限定することもできます。
当初は範囲を限定して経験を重ね、次第に範囲を拡大していくことができます。
これに対して、個人情報保護のプライバシーマーク制度では、組織全体が対象になり、限定することはできません。
ISMSは、継続的な改善が要求されます。認証登録されたら、通常1年毎に当該ISMSが効果的に継続されていることを検証するためのサーベイランス審査が行われます。
そして、3年ごとに再認証審査を行います。