(Information Security Management System) |
| Team-U Lab. |
| [Return] | |
| 第4回ISMS調査について | |||||||||||||
| |||||||||||||
| ● | 今年度のISMS認証取得事業所調査を始めました。 ご協力宜しくお願い致します。 |
||||||||||||
| @ | 今年は前回の調査項目に新たに審査員が初回審査やサーベランス/更新審査時にどの様な文書を確認して審査を行っているかを追加しました。 マネジメントシステムの審査として,ISMS関連文書を調べて審査を行っているか確認する必要があると感じたためです |
||||||||||||
| A | ISO/IEC27001や27002で,「ISMSの確立」等の項目がありますが,最も誤解の多い事柄でもあります。 「4.2.1 ISMSの確立 項目g 【ISO/IEC27001】」 リスク対応のための、管理目的及び管理策を選択する 管理目的/管理策は、リスクアセスメント/リスク対応プロセスで特定した要求事項を満たすため選択、導入する。 選択は、法令、規制及び契約上の要求事項と同じく、リスク受容基準も考慮する。 このプロセスの一部として、「附属書A:」から、要求事項を満たす管理目的及び管理策を選択する。 管理目的及び管理策は全てを網羅していないので、追加の管理目的及び管理策を選択してよい。 注記 附属書Aは、様々な組織が共通に関連する管理目的/管理策を幅広く集めたリストで、この規格の利用者は、附属書A を重要な管理策を確実に選択し、見落しがないようにする、管理策選択の出発点と考えられる。 「0.2.8 組織固有の指針の開発【ISO/IEC 27002】」 この規格に記載される管理策及び手引は,そのすべてが適用できるとは限らない。 この規格に記載されていない管理策及び指針が要求されるかもしれない。追加の指針又は管理策を含んだ文書を作成する場合,監査人及び取引相手が順守状況を容易に確認できるようにするために,この規格の個々の箇条に対応する対比表を含めると便利かもしれない |
||||||||||||
| 第3回ISMS調査の概要 | |
| ● | 国内における情報セキュリティマネジメントシステム適合性評価制度(以下、ISMS認証制度)への関心は高く、2010年末に4,522 事業所が認証取得しており、世界の半数以上を占めるが、ISMS が必ずしも業務遂行に役立たないとの声もあり、ISO9001(品質マネジメントシステム、QMS)認証制度などでもその有用性が指摘されている。 |
| ● | ISMS認証制度に対する継続的で広範囲な調査は本調査以外にない。今回は、2008年10月までに取得した約2,000事業所に対して調査を行ったが、主なものとしては以下のようなものがある。 |
| @ | 認証取得で得られた効果には『セキュリティ意識が従業員に浸透した』や『情報資産が明確になり整理することができた』言った回答が上位を占めている。 |
| A | マルウェア(有害プログラム)への感染率は一般の情報セキュリティ調査に比べ、半分程度であり、情報セキュリティ対策に対して認証取得は効果があると思われる。 |
| B | コンサルタントや審査員に対しては全般的に厳しい評価をしている。 |
| C | 全体的な調査結果やインタビューから感じるのは、審査員やISMS推進担当者等の考えに、「リスクマネジメント」概念の理解が不足している感じを受ける。 |
| ● | 調査の詳細については、下記報告書をご覧下さい。 |
|
星智恵、畑上英毅、内田勝也「ISMS認証取得組織のアンケート調査からみる現状と課題」論文発表。 本論文は3名の共同研究による発表です |
|
|
内田勝也(基調講演)「ISMS第三者認証制度への提言 〜認証取得事業所調査から〜」 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
日本セキュリティ・マネジメント学会 ニューズレター 巻頭言(1998年1月31日) |