簡単にISOの取得なら   (資)アイソ

期間 3−6ケ月間
費用 60万から
連絡先
メール
zxc1130jp@yahoo.co.jp
合資会社アイソ

ISMS アイソ 安価

ISMSは、情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、計画を持ち、資源配分して、仕組みを運用するものです。

 情報セキュリティの問題について、インターネット上のホームページの改ざん、ハードウェア/ソフトウェアのトラブルや関係者による情報の漏洩などが存在しており、それら個別の技術対策は様々であり、それぞれのレベルで実施されていると思われる。

 ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。

 組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが情報セキュリティマネジメントシステム(ISMS)の基本コンセプトである。(ISO/IEC 13335-1:2004より引用)
●機密性:認可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性。
●完全性:資産の正確さ及び完全さを保護する特性。
●可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。 

2. ISMSのポイントについて

 ISO/IEC 27001では、組織においてISMSを確立、導入、運用、監視、見直し、維持し、かつそのISMSの有効性を改善する際に、プロセスアプローチを採用することを奨励する。
 ISMS基本方針を基に、
●Plan : 情報セキュリティ対策の具体的計画・目標を策定する。
●Do  : 計画に基づいて対策の導入・運用を行う。
●Check: 実施した結果の監視・見直しを行う。
●Act  : 経営陣による改善・処置を行う。
このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図る。

3. ISMSの確立

 ISMSの要求事項は、組織の自らの事業の活動全般及び直面するリスクを考慮して、文書化されたISMSを確立、導入、運用、監視、見直し、維持し、かつこれを継続的に改善することである。

 ISMSの確立にあたりISMSの適用範囲を定義(STEP1)し、ISMS基本方針を策定(STEP2)する。策定したISMSの適用範囲及び基本方針に基づき、リスクアセスメントの体系的な取組方法を策定(STEP3)する。保護すべき情報資産に対するリスクを識別(STEP4)し、リスクアセスメントを実施(STEP5)する。リスクアセスメントの結果、リスクの受容ができない場合にはリスク対応の選択肢を明確にし評価(STEP6)する。リスク対応に基づき、実施すべき管理目的と管理策を選択(STEP7)する。

  1. セキュリティ基本方針
  2. 情報セキュリティのための組織
  3. 資産の管理
  4. 人的資源のセキュリティ
  5. 物理的及び環境的セキュリティ
  6. 通信及び運用管理
  7. アクセス制御
  8. 情報システムの取得、開発及び保守
  9. 情報セキュリティインシデントの管理
  10. 事業継続管理
  11. 順守
附属書A「管理目的と管理策」にある全ての管理策が実施されなければならないわけではなく、リスクアセスメントに基づき、管理策を選択して実施できる。上記の管理策だけでなく、組織がリスクアセスメントやリスクマネジメントなどを通じて、必要と思われるより良い管理策を追加することができる。リスクアセスメントの結果、何が残留リスクなのか、残留リスクはどの程度あるのかを明確にした上で経営陣が承認し、ISMSを運用することを許可する。特に重要なことは、この選択については適用宣言書で明確に公表することにある。
ISMS認証を取得する場合の一般的な内容について概要を説明します。
ISMS認証登録は認証機関が行いますので、具体的な内容については認証機関にご相談下さい。
1.認証取得の申請先
ISMS認証取得の為の申請先(相談先)は、認定された認証機関です。認証機関の認定は、財団法人日本情報処理開発協会(以下、JIPDEC)が行います。
JIPDECは認証機関を認定する機関であり、組織に対するISMS認証登録は行いません
2.認証機関の選択

・認証取得を希望する組織は認定された認証機関の中から選んで申請します。
認定された認証機関は下記URLを参照下さい。
ISMS URL:http://www.isms.jipdec.jp/lst/isr/index.html

・認定された認証機関は、業種による制限はありませんので、どの業種の組織でも審査することができます。
但し、審査において業種特有な専門的知識が必要な場合は、認証機関として審査を受付けない場合がありますので、事前に確認して下さい。また、利害が絡む場合等で審査を受付けられない場合があります。
・認証機関を選択したら、認証審査・登録に関する条件について事前に確認し、合意されたら申請します。
・認証登録に関わる料金は、適用範囲や受審組織の規模等の他、認証機関によっても異なります。見積りをとることも出来ます。
・申請に必要な書類や様式等は、認証機関にお問合せ下さい。
3.審査及び登録

・申請が受理され、審査に入れる状態になったら審査が始まります。

・審査は原則として第一段階審査と第二段階審査の2段階で行われます。これらの審査の目的は、以下のとおりです。

第一段階審査の目的は、組織のISMS基本方針及び目的に照らして当該ISMSを理解し、また特に当該審査に対する組織の準備状況を理解することにより、第二段階審査計画の焦点を定めることである。
第二段階審査の目的は、組織が自ら定めた基本方針、目的、及び手順を遵守していることを確認すること、及び当該ISMSがISMS規格JIS Q 27001のすべての要求事項に適合していること、並びに当該ISMSが組織の基本方針及び目的を実現しつつあることを確認することである。

・審査日数や審査工数は、適用範囲、受審組織の規模等によって異なります。
・申請から登録までの期間は、規模、適用範囲等の他、不適合の状況によっても異なります。
・登録された情報は、認証機関からJIPDECに報告されます。JIPDECはこれによりホームページに公開しますが、報告時期により1ケ月程度ずれる場合があります。
4.登録の維持

・認証登録されたら、通常1年毎にサーベイランス審査が行われます。サーベイランス審査はもっと短い間隔で行われる場合もあります。
・再認証審査は3年毎に行われます。

参考:関連文書等の入手先
@JIPDECが出している、認証基準に関連する文書は下記URLよりダウンロードできます。
 ISMS URL:http://www.isms.jipdec.jp/std/index.html
A認証取得に関する質問については、FAQ(よくある質問)も参照して下さい。
 URL:http://www.isms.jipdec.jp/faq/faq2.html