B05-ISMS関連

○ISMSとは

　情報セキュリティマネジメントシステム適合性評価制度であり、

　情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメント

　により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用するものです。

　#情報マネジメントシステム認定センターより

○ISMS関連の規格

　ISMS認証を受けている会社の事務局の人は「ISO/IEC 27006」に目を通すと良い。

　審査員からいろいろ言われることが書いてあるので「あ、ここに書いてあるから聞いてくるんだ」が分かります。

　【審査員目線の審査の流れ】

　①：JAB提出用の審査シートを準備（認証機関ごとにフォームは違うが項目は規格できまっている）

　　　継続や更新の時は前回の内容を事前にチェック（なので初回はつらい）

　②：事前に審査を受ける会社から手順類を入手しISMSの要求事項が含まれているかチェックする

　　　規格の版が変わった時はつらい（時間かかる）

　③：審査にて 27006のチェック項目を踏まえて抜け漏れないように審査シート埋めていく

　　　文書化のところはエビデンス名を記入するので、わかりやすい資料名と文書番号あるとうれしい

　④：審査機関内で提出前シートのレビューを実施

　⑤：JABに所定の形式で報告書を提出

　⑥：JABから判定結果を受領する

・情報セキュリティマネジメントシステム

　ISO/IEC 27001:2022（国際標準化機構）

　JIS Q 27001:2023（日本産業規格）　※ほぼ「上記和訳」の理解でOKです

・クラウドセキュリティ認証

　ISO/IEC 27017:2015（国際標準化機構）

　JIS Q 27017:2016（日本産業規格）※ほぼ「上記和訳」の理解でOKです

・審査用の規格

　審査員は次の規格で決められた内容に沿って審査を行う

　ISO/IEC 27006（情報セキュリティマネジメントシステム－審査及び認証を行う機関に対する要求事項）

　リンク先の管理策一覧において「X」項目については審査員は審査証拠を得る必要がある。

　https://kikakurui.com/q/Q27006-2018-01.html

・審査機関に対する規格

　ISO/IEC 17021-1（適合性評価－マネジメントシステムの審査及び認証を行う機関に対する要求事項－第1部：要求事項）

　審査機関はこの規格に適合する必要がある。

　https://kikakurui.com/q/Q17021-2011-01.html

○ISMS認証の取得企業に対する目線と個人見解

（JRCA認定のISMS審査員資格保持者視点です）

・結論

　機密情報（個人情報）の業務を委託する場合は、ISMS認証を取得している会社が望ましい。

　（ただし、BSIやJQAなど大手の審査機関に限る）

・しくみをざっくりと説明

　「情報セキュリティに関するしくみ（文書や環境）が一定のレベルにある」

　「情報セキュリティに関するしくみ」が運用レベルで「それなりに」実施できている

・信用の根拠

　やはり、第三者の客観的なチェックがあることにつきる。

　何も認証を取得していない企業はいいかげんな運用になりがち。

・業務委託してはいけない会社

　ISMS、PMSの認証未取得の会社。

　社内の情報セキュリティ規程がない（あっても更新されてない）会社。

・事前チェック

　新規取引の際は、以下を依頼。

　①事前に、過去３年の「審査報告書」の提示と、取引開始時の「現地監査」を実施。

　②NDA締結

　③前回の脆弱性診断（WEB、プラットフォーム）結果を確認

　④クラウドのセキュリティに対する社内ルールと脆弱性診断（クラウド設定）結果を確認

○認証に関する情報は以下から入手

・情報マネジメントシステム認定センター

　https://isms.jp/