B05-ISMS関連 のバックアップ(No.7)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• 現在との差分 - Visual を表示
• ソース を表示
• B05-ISMS関連 へ行く。
  • 1 (2021-09-23 (木) 10:18:29)
  • 2 (2024-10-16 (水) 12:57:29)
  • 3 (2024-10-16 (水) 14:14:39)
  • 4 (2025-02-04 (火) 14:46:20)
  • 5 (2025-06-04 (水) 15:11:08)
  • 6 (2025-06-07 (土) 12:32:32)
  • 7 (2025-06-24 (火) 16:54:03)

○ISMSとは

　情報セキュリティマネジメントシステム適合性評価制度であり、

　情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメント

　により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用するものです。

　#情報マネジメントシステム認定センターより

○ISMS関連の規格

・情報セキュリティマネジメントシステム

　ISO/IEC 27001:2022（国際標準化機構）

　JIS Q 27001:2023（日本産業規格）　※ほぼ「上記和訳」の理解でOKです

・クラウドセキュリティ認証

　ISO/IEC 27017:2015（国際標準化機構）

　JIS Q 27017:2016（日本産業規格）※ほぼ「上記和訳」の理解でOKです

○ISMS認証の取得企業に対する目線と個人見解

（JRCA認定のISMS審査員資格保持者視点です）

・結論

　機密情報（個人情報）の業務を委託する場合は、ISMS認証を取得している会社が望ましい。

　（ただし、BSIやJQAなど大手の審査機関に限る）

・しくみをざっくりと説明

　「情報セキュリティに関するしくみ（文書や環境）が一定のレベルにある」

　「情報セキュリティに関するしくみ」が運用レベルで「それなりに」実施できている

・信用の根拠

　やはり、第三者の客観的なチェックがあることにつきる。

　何も認証を取得していない企業はいいかげんな運用になりがち。

・業務委託してはいけない会社

　ISMS、PMSの認証未取得の会社。

　社内の情報セキュリティ規程がない（あっても更新されてない）会社。

・事前チェック

　新規取引の際は、以下を依頼。

　①事前に、過去３年の「審査報告書」の提示と、取引開始時の「現地監査」を実施。

　②NDA締結

　③前回の脆弱性診断（WEB、プラットフォーム）結果を確認

　④クラウドのセキュリティに対する社内ルールと脆弱性診断（クラウド設定）結果を確認

○認証に関する情報は以下から入手

・情報マネジメントシステム認定センター

　https://isms.jp/