B01-ISMS関連

○はじめに

ISMS（JIS Q 27001）審査員補の資格を保持しています。

業務上のノウハウ等を随時追加したいと思います。

（インターネット上に、実務に踏み込んだ解説がすくないので）

審査員側の目線、実務側の目線と両方からの見解です。

○ISMSとは

　情報セキュリティマネジメントシステム適合性評価制度であり、

　情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメント

　により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用するものです。

　#情報マネジメントシステム認定センターより

○ISMS関連の規格

　情報セキュリティマネジメントシステム

　・ISO/IEC 27001:2013（国際標準化機構）

　・JIS Q 27001:2014（日本産業規格）　※ほぼ「上記和訳」の理解でOKです

　クラウドセキュリティ認証

　・ISO/IEC 27017:2015（国際標準化機構）

　・JIS Q 27017:2016（日本産業規格）※ほぼ「上記和訳」の理解でOKです

○ISMS認証の取得企業に対する目線と個人見解

　「ISO/IEC 27001:2013」という国際規格に沿って、情報セキュリティを確保するための仕組みを持ち

　その仕組みを維持し継続的に改善していることを意味する。

　もっと分かりやすい言葉で言えば、

　１「情報セキュリティに関するしくみ（文書や環境）が一定のレベルにある」→国際規格のレベルに達している

　２「情報セキュリティに関するしくみ」が運用レベルできちんと実施できている　→上記同様

　と言い換えることができる。何も認証を取得していない企業が「当社はしっかり情報セキュリティを管理している」

　といっても、エビデンスがないため「信用できない」。私個人の見解としてはそのような企業はたいてい「いいかげん」な

　管理であることが多く取引対象にはなりません。（第三者チェックがないから）

　たまに、認証未取得の企業から「認証を維持することが目的であり、実際は形骸化している企業が多い、だから取得する必要はない」

　とお聞きすることもありますが、認証取得企業においては少なくとも、審査員の目からは一定の基準にあるわけであり、

　ある程度のレベルは満たしていると考える。

　※形骸化＝経営層や管理職の「管理、統制」の能力が低いことを自ら露呈しており、危険な発言ですね

　やはり、高セキュリティの業務委託を行うには認証は必要であると判断できる。

　私は念のため新規取引の際は、企業に対し、過去３年の「審査報告書」の提示と、取引開始時の「現地監査」を

　必須項目としています。特にゆるみやすい部分（実務運用で手間がかかるルールの部分）について細かく

　チェックすることをお勧めします。（高い確率でルールから逸脱している企業が多いのが現実）

　認証取得企業であれば、書類は整っている企業が多いため、書類は細かくチェックする必要性は低いです。

○認証に関する情報

　・情報マネジメントシステム認定センター

　　https://isms.jp/