いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ
Webエンジニア向けプログラミング解説動画をYouTubeで配信中!
▶ チャンネル登録はこちら

ISMS適合性評価制度(アイエスエムエス・テキゴウセイ・ヒョウカ・セイド)とは | 意味や読み方など丁寧でわかりやすい用語解説

ISMS適合性評価制度(アイエスエムエス・テキゴウセイ・ヒョウカ・セイド)の意味や読み方など、初心者にもわかりやすいように丁寧に解説しています。

作成日: 更新日:

読み方

日本語表記

ISMS適合性評価制度 (アイエスエムエス・テキゴウセイ・ヒョウカ・セイド)

英語表記

ISMS Certification Scheme (アイエスエムエス サーティフィケーション スキーム)

用語解説

ISMS適合性評価制度は、組織が構築した情報セキュリティマネジメントシステム、すなわちISMSが、国際的な規格であるISO/IEC 27001に適合していることを、公平な第三者機関が審査し、証明する制度である。ISMSとは、Information Security Management Systemの略称であり、企業や組織が保有する情報資産を様々な脅威から守り、その機密性、完全性、可用性を維持するための管理体制や仕組み全般を指す。この制度を通じて認証を取得することは、その組織が情報セキュリティに対して適切な管理策を講じ、継続的に運用・改善していることの客観的な証拠となり、顧客や取引先からの信頼を獲得する上で極めて重要な役割を果たす。

この制度の主な目的は、組織の情報セキュリティレベルを客観的に証明し、対外的な信頼性を高めることにある。認証を取得することで、取引先や顧客に対して、自社が情報資産を適切に管理していることを具体的に示すことができる。これは、特に個人情報や機密情報を多く取り扱う業種において、ビジネス上の大きな強みとなる。また、認証取得の過程で情報セキュリティに関する社内体制が整備され、従業員のセキュリティ意識が向上するという内部的な効果も期待できる。制度の信頼性を担保するために、その仕組みは二段階の構造で成り立っている。まず、組織のISMSを直接審査する「認証機関」が存在する。そして、その認証機関が審査を行う能力や公平性を備えているかを評価し、認める「認定機関」が存在する。日本では、一般財団法人日本情報経済社会推進協会(JIPDEC)が認定機関としての役割を担っている。この認定機関によって認定された認証機関だけが、組織に対してISMS認証を発行できる。この「認定機関が認証機関を評価し、認証機関が組織を審査する」という構造により、制度全体の中立性と信頼性が確保されているのである。

組織が認証を取得するためには、定められたプロセスを経る必要がある。まず、認証審査を受ける前提として、組織内でISO/IEC 27001の要求事項に基づいたISMSを構築し、実際に運用しなければならない。この構築段階では、保護すべき情報資産を洗い出し、それらにどのようなリスクが存在するかを特定・分析・評価するリスクアセスメントを実施する。その評価結果に基づき、リスクを低減するための具体的な対策計画を立て、実施していく。この一連の活動は、PDCAサイクル、すなわち計画(Plan)、実行(Do)、評価(Check)、改善(Act)のサイクルを回しながら、継続的に改善していくことが求められる。ISMSの運用が定着したら、認証機関に審査を申請する。審査は通常、第一段階審査と第二段階審査の二段階で行われる。第一段階審査は主に文書審査であり、組織が作成した情報セキュリティ方針や手順書などの文書が、規格の要求事項を満たしているかを確認する。ここで問題がなければ、第二段階審査に進む。第二段階審査は実地審査であり、審査員が組織の拠点に赴き、ISMSが文書通りに、かつ有効に運用されているかを、担当者へのインタビューや現場の確認を通じて審査する。

第二段階審査で規格への適合が認められると、組織はISMS認証を取得できる。認証の登録証が発行され、認証機関や認定機関のウェブサイトで公開される。しかし、認証取得はゴールではない。認証の有効期間は3年間と定められており、その間もISMSを適切に維持・改善し続ける必要がある。そのことを確認するため、認証取得後は毎年、維持審査(サーベイランス審査)が行われる。そして、3年後には認証を更新するための更新審査(再認証審査)を受けることになる。この制度の根幹となる規格は「ISO/IEC 27001」である。これはISMSの要求事項を定めた国際規格であり、認証審査はこの規格への適合性を判断基準とする。日本国内では、これを日本語に翻訳した「JIS Q 27001」が日本産業規格として発行されているが、内容は同一である。システムエンジニアを目指す者にとって、この制度の理解は不可欠である。顧客のシステム開発や運用に携わる際、その顧客がISMS認証を取得していれば、認証で定められたルールや管理策を遵守することが求められる。例えば、アクセス管理の徹底、セキュアなコーディング、変更管理プロセスの遵守など、開発のあらゆる場面で情報セキュリティへの配慮が必要となる。自社が認証を取得している場合も同様であり、定められた開発プロセスやセキュリティ基準に従うことが職務として要求される。このように、ISMS適合性評価制度は、組織の信頼性を証明するだけでなく、情報セキュリティを確保するための具体的な指針として機能し、安全なIT社会を支える基盤の一つとなっている。

関連コンテンツ

関連IT用語