information security management system isms適合性評価制度 … ·...
TRANSCRIPT
Copyright JIPDEC ISMS, 2004 1
ISMSISMS適合性評価制度の適合性評価制度の最新状況最新状況
財団法人 日本情報処理開発協会
情報セキュリティ部 ISMS制度推進室
2004年12月
http://www.isms.jipdec.jp
Information Security Management System
JIPDECの許可なく転載することを禁じます
Copyright JIPDEC ISMS, 2004 2
目 次
ISMS適合性評価制度の現状
ISMSの国際動向
Information Security Management System
Copyright JIPDEC ISMS, 2004 3
Information Security Management System
ISMS適合性評価制度の現状
ISMS適合性評価制度の目的
ISMS適合性評価制度の適合基準
ISMS適合性評価制度の運用
JIPDEC(組織運営機構)
ISMS適合性評価制度の事業実施状況
認証基準・ガイドの一覧
基準・規程・手順の一覧
認定されたISMS審査登録機関
認定されたISMS審査員研修機関
ISMS認証基準(Ver.1.0)認証の取扱い
認証取得事業者数推移
機関別認証登録事業者数
地域別認証取得事業者数
都道府県別認証取得事業者数
ISMS審査員登録者数推移
Copyright JIPDEC ISMS, 2004 4
Information Security Management System
ISMS適合性評価制度の目的
情報セキュリティマネジメントシステム(Information Security Management System:以下ISMSという)適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントに対する第三者適合性評価制度である。
本制度は、わが国の情報セキュリティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的としたものである。
Copyright JIPDEC ISMS, 2004 5
ISMS適合性評価制度の適合基準
Information Security Management System
ISO/IEC Guide 62およびEA 7/03(認定基準)(品質システム審査登録機関に対する一般要求事項:General requirements for assessment and accreditation of certification/registration of quality management systems)
ISMS認証基準(Ver.2.0)(BS 7799-2::Information security management systems-Specification with guidance for use )
審査登録機関(認証機関)
認定機関 適合基準ISO/IEC Guide 61およびEA 3/08
(認証機関および審査登録機関の認定審査ならびに認定機関に対する一般要求事項:
General requirements for assessment and accreditation of certification/registration bodies)
認定(Accreditation)
適合基準
評価希望事業者
認証(Certification)
適合基準
Copyright JIPDEC ISMS, 2004 6
Information Security Management System
ISMS適合性評価制度の運用
証明書発行
受講
認定機関 (JIPDEC)認定機関
(JIPDEC/ISMS制度推進室)申請
意見・苦情等
申請③
評価⑦審査①
(認証)
申請⑧
審査④⑤
(認定)
申請⑥
評価希望事業者 審査員研修機関
審査登録機関
審査員希望者
審査員評価登録機関JIPDEC
ISMS審査員評価登録室
審査②
(認証)
①ISMS認証基準
②ISMS審査登録機関認定基準
③ISMS審査登録機関認定の手順
④ISMS審査員研修機関認定基準
⑤ISMS審査員研修コース基準
⑥ISMS審査員研修機関認定の手順
⑦ISMS審査員資格基準
⑧ISMS審査員登録の手順
証明書発行
受講
認定機関 (JIPDEC)認定機関
(JIPDEC/ISMS制度推進室)認定機関 (JIPDEC)認定機関
(JIPDEC/ISMS制度推進室)申請
意見・苦情等
申請③
評価⑦審査①
(認証)
申請⑧
審査④⑤
(認定)
申請⑥
評価希望事業者 審査員研修機関
審査登録機関
審査員希望者
審査員評価登録機関JIPDEC
ISMS審査員評価登録室
審査②
(認証)
①ISMS認証基準
②ISMS審査登録機関認定基準
③ISMS審査登録機関認定の手順
④ISMS審査員研修機関認定基準
⑤ISMS審査員研修コース基準
⑥ISMS審査員研修機関認定の手順
⑦ISMS審査員資格基準
⑧ISMS審査員登録の手順
Copyright JIPDEC ISMS, 2004 7
JIPDEC(組織運営機構)Information Security Management System
上級経営者上級経営者
ISMS事業統括責任者
ISMS事業統括責任者
外部認定審査員外部認定審査員
内部監査内部監査
判定委員会判定委員会
運営委員会運営委員会
技術専門部会技術専門部会
登録・業務部門登録・業務部門 審査部門審査部門
(注)ISMS制度推進室の組織運営機構は、ISO/IEC Guide61を準用
Copyright JIPDEC ISMS, 2004 8
ISMS適合性評価制度の事業実施状況Information Security Management System
4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月
運営委員会
技術専門部会
法規適合性
に関する
ISMS
ガイド
(仮称
)
業種別ガイド
委員会等
認証基準系のガイド等の作成
説明会
普及広報活動
FAQ
ISMS
構築事例集
リスク
マネジメント編
第1回 第2回 第3回 第4回 ● ● ● ● 9/10 11/10 予定 予定
随時更新
J004公開( 6/24) ●
●本文公開(4/2)
●J007公開(10/6)
●付録1公開(7/12)
全国(9箇所)予定
●情報セキュリティシンポジウム10/5
第1回 第2回 第3回 第4回 第5回 第6回 第7回 第8回 ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・▲ 4/28 5/18 6/2 7/16 9/3 9/28 11/4 11/24 以降 月1回程度
ISMSユーザーズガイド -リスクマネジメント編-
随時更新
●公開11/8
-医療機関向けー ISMSユーザーズガイドー
作成
-ISMS構築事例集-(随時更新中)J006公開( 7/5) ●
●J005公開(9/3)
現在公開中事例(V1)のV2移行
●10/28 ●11/11 ●11/24●公開予定
●12/10 ●12/14大阪 東京
Copyright JIPDEC ISMS, 2004 9
認証基準・ガイドの一覧Information Security Management System
ISMS認証基準(Ver2.0)の要求事項について一定の範囲でその意味するところを説明しているガイド。
JIP-ISMS111-1.0ISMSユーザーズ
ガイド
英国規格BS 7799-2:2002に基づき作成したもので、本基準で使用する用語、表現については、JIS X 5080:2002(国際規格ISO/IEC 17799:2000)との互換性を確保し、第三者である審査登録機関が本制度の認証を希望する事業者の適合性を評価するための基準。
JIP-ISMS100-2.0ISMS認証基準(Ver.2.0)
既にISMS認証を取得した事業者の構築事例を、インタビューを基にまとめたもの。
JIP-ISMS112-1.1ISMS構築事例集
ISMSユーザーズガイドを補足し、リスクマネジメントとりわけリスクアセスメント及びその結果に基づくリスク対応についての理解を深めるためのガイド。
JIP-ISMS113-1.0ISMSユーザーズ
ガイド
-リスク
マネジメント編-
概要文書番号文書名
Copyright JIPDEC ISMS, 2004 10
基準・規程・手順の一覧Information Security Management System
申請から登録までと登録維持の標準的な流れと条件を示したもの
JIP-ISAC211-1.0ISMS審査員研修機関認定の手引
申請から登録までと登録維持の標準的な流れと条件を示したもの
JIP-ISAC111-1.0ISMS審査登録機関認定の手引
ISMS審査員評価登録機関の認定審査及び登録を行う際の認定基準。
JIP-ISAC300-1.0ISMS審査員評価登録機関認定基準
認定マークの表示及び適用条件等について定めた規程JIP-ISAC510-1.3ISMS認定マーク使用規程
ISMS審査員の資格基準を補完したもの。JIP-ISAC401-1.0ISMS審査員の資格基準に対する補足
審査員等を登録する手順JIP-ISAC410-1.2ISMS審査員登録の手順
審査員等(審査員補、審査員、主任審査員)についての資格基準
JIP-ISAC400-1.0ISMS審査員の資格基準
審査員研修機関が認定を受けるための手順JIP-ISAC210-1.2ISMS審査員研修機関認定の手順
審査員研修コースの内容について定めた基準JIP-ISAC220-1.0ISMS審査員研修コース基準
審査員向けの研修を行う研修機関の認定審査及び登録を行う際の認定基準
JIP-ISAC200-1.0ISMS審査員研修機関認定基準
審査登録機関が認定を受けるための手順JIP-ISAC110-1.2ISMS審査登録機関認定の手順
審査登録機関の認定審査及び登録を行う際の認定基準JIP-ISAC100-1.0ISMS審査登録機関認定基準
概要文書番号文書名
Copyright JIPDEC ISMS, 2004 11
認定されたISMS審査登録機関Information Security Management System
2004年11月26日現在2004年11月26日現在
認定番号 機 関 名 称
財団法人 日本品質保証機構 マネジメントシステム部門
ISR002 日本検査キューエイ 株式会社
ISR003 株式会社 ケーピーエムジー審査登録機構
ISR004 ビーエスアイジャパン 株式会社
ISR005 財団法人 日本科学技術連盟 ISO審査登録センター
ISR006 財団法人 日本規格協会 審査登録事業部
ISR007 株式会社 日本情報セキュリティ認証機構
ISR008 デット ノルスケ ベリタス エーエス DNV認証事業 日本支社
ISR009 株式会社エヌ・ティ・ティ エムイーマネジメントシステム審査登録センタ
ISR010 株式会社中央青山審査登録機構
ISR011 社団法人 日本能率協会 審査登録センター
ISR012 ペリージョンソン レジストラー 株式会社
ISR013 財団法人電気通信端末機器審査協会 ISMS審査登録センター
ISR001
ISR014 株式会社トーマツ審査評価機構
Copyright JIPDEC ISMS, 2004 12
Information Security Management System
認定されたISMS審査員研修機関
2004年2月20日現在2004年2月20日現在
認定番号 機 関 名 称
IST001 株式会社 テクノファ (テクノファ)IST002 株式会社 エル・エム・ジェイ・ジャパン (LMJ)IST003 ビーエスアイジャパン 株式会社 (BSI-J)
IST004 ケイピーエムジー・エムエムシー株式会社研修事業部 (JISO)
IST006リコー・ヒューマン・クリエイツ 株式会社リコー情報セキュリティ研究センター (R-ISaP)
IST007 NTTソフトウェア 株式会社 (NTT SOFT)IST008 株式会社 グローバルテクノ (GTC)IST009 日本電気株式会社 Eラーニング事業部 (NEC)IST010 株式会社 日本環境認証機構 (JACO)
社団法人 中部産業連盟 ISO事業推進部 (中産連)
中央青山PwCコンサルティング株式会社中央青山PwCビジネススクール (CBS)株式会社 アーク (アーク)
IST011
IST012
IST013
2004年11月26日現在2004年11月26日現在
Copyright JIPDEC ISMS, 2004 13
Information Security Management System
ISMS認証基準(Ver.1.0)認証の取扱い
ISMS認証基準(Ver.2.0)により初回審査を行う。
2004年10月1日以降、ISMS認証基準(Ver.1.0)による初回登録はできない。
①
認証の一時停止後、次の維持審査もしくは更新審査までの間に、ISMS認証基準(Ver.2.0)への差分審査により移行した場合、認証登録の一時停止を解除できる。
2005年10月1日時点で、ISMS認証基準(Ver.1.0)から(Ver.2.0)への移行が完了していない場合、 ISMS認証登録は無効となり、認証登録の一時停止もしくは認証登録の取消しとする。
④
2005年9月30日までに差分審査を実施する。
ISMS認証基準(Ver.1.0)から(Ver.2.0)への差分審査による移行は、2005年9月30日までに実施する。
③
ISMS認証基準(Ver.2.0)により維持審査を行う。
2004年10月1日以降、ISMS認証基準(Ver.1.0)による維持審査はできない。
②
対 応内 容№
Copyright JIPDEC ISMS, 2004 14
認証取得事業者数推移Information Security Management System
2004年12月3日現在
3 3 8 6 18 11 6 12 10 318
3716 16 11 11 13 25 27 19 33 24 28
4828 16 19 20 19 19 20 13 13 6 14 20
38 49 55 67 77 8098
135151
167 178 189 202227
254273
306330
358
406434
450469
489508
527547
560 561
0
100
200
300
400
500
600
2 0 0 2年 4月
5月 6月 7月 8月 9月 10 月 11 月 12 月
2 0 0 3年 1月
2月 3月 4月 5月 6月 7月 8月 9月 10 月 11 月 12 月
20 0 4年 1月2月 3月 4月 5月 6月 7月 8月 9月
10 月11月 12 月
登録 累計 Ver.2.0累計
登録
513
累計
Copyright JIPDEC ISMS, 2004 15
機関別認証登録事業者数Information Security Management System
2004年12月3日現在
188
26
18
183
25
14
62
7
6
3
8
6
8
7
0 20 40 60 80 100 120 140 160 180 200
JQA
JICQA
KPMG RJ
BSI-J
JUSE-ISO Center
JSA
JACO-IS
DNV
MEMSRC
CCR
JMAQA
PJR
JATE
TECO
Copyright JIPDEC ISMS, 2004 16
地域別認証取得事業者数
Information Security Management System
北海道東北関東
中部近畿中国四国
九州沖縄
11件26件
354件45件65件18件
7件26件
4件
合計 556件
関東63%
中部8%
近畿12%
中国3%
四国1%
九州5%
沖縄1%
北海道2% 東北
5%
2004年12月3日現在
Copyright JIPDEC ISMS, 2004 17
Information Security Management System
都道府県別認証取得事業者数
北 海 道 11 青 森 3 茨 城 6 富 山 5 福 井 5岩 手 1 栃 木 3 石 川 7 滋 賀 0宮 城 7 群 馬 4 岐 阜 1 0 京 都 7秋 田 4 埼 玉 6 愛 知 2 1 大 阪 44山 形 4 千 葉 1 6 三 重 2 兵 庫 8福 島 7 東 京 25 6 奈 良 0
神 奈 川 4 3 和 歌 山 1新 潟 3山 梨 4長 野 5静 岡 8
小 計 11 26 35 4 4 5 65
鳥 取 0 徳 島 1 福 岡 1 2 沖 縄 4 県 報 告 な し 5島 根 3 香 川 2 長 崎 3岡 山 6 愛 媛 3 佐 賀 0広 島 6 高 知 1 熊 本 6山 口 3 大 分 2
宮 崎 0鹿 児 島 3
小 計 18 7 2 6 4 5
合 計
注 :
20 04 年 12 月 3 日 現 在
本 デ ー タ は 、 J IP D E C に 報 告 さ れ た 認 証 取 得 事 業 者 の 所 在 地 を 基 に 作 成 し て お り 、 関 連事 業 所 の 所 在 地 は 含 ま れ て い ま せ ん 。
東 北 近 畿北 海 道 関 東 中 部
沖 縄九 州中 国
56 1
四 国 そ の 他
Copyright JIPDEC ISMS, 2004 18
ISMS審査員登録者数推移Information Security Management System
2004年12月3日現在
9891,069
1,1151,179
1,2591,321
1,375
314 318 318 319 319 320 322
498 500 501 501 501 502 502
0
200
400
600
800
1,000
1,200
1,400
1,600
2002.5~2004.3 2004.4 2004.5 2004.6 2004.7 2004.8 2004.9
審査員補 審査員 主任審査員
訂正版
(10、11月は未集計)
Copyright JIPDEC ISMS, 2004 19
Information Security Management System
ISMSの国際動向
ISMS認証基準制定の経緯
ISO/IEC JTC1/SC27の構成
ISO/IEC 17799:2000の改訂
ISMS国際規格化
IUGとの関連図
各国毎のBS 7799登録証発行数
Copyright JIPDEC ISMS, 2004 20
ISMS認証基準制定の経緯Information Security Management System
2003年4月1999年4月 2000年4月 2001年4月 2002年4月
BS 7799-2:2002(2002年9月)
JIS X 5080(2002年2月)
ISMS認証基準(Ver.1.0)
(2002年4月)
ISO/IEC 17799:2000(2000年12月)
(改訂)
英国規格BS7799-1
英国規格BS7799-2
2004年4月
ISMS認証基準(Ver.2.0)(2003年4月)注3
2005年4月
ISMSパイロット事業
ISMS本格運用ISMS
検討期間
JIS化
ISMS認証基準(Ver.0.8)
(2001年4月)
2003年9月まで可能
注1
2004年9月で廃止
注2
注1:Ver.1.0による初回審査は2003年9月
30日まで可能。
注2:Ver.1.0は、は2004年9月30日で廃止。
注3:ISMS認証基準(Ver.2.0)は、英国規格BS 7799-2:2002をベースとし、用語、表現については、JIS X 5080:2002との互換性を確保。
Copyright JIPDEC ISMS, 2004 21
ISO/IEC JTC1/SC27の構成
Information Security Management System
WG2Security techniques
and mechanisms
ISO/IEC JTC1/SC27Information technology
Security techniques
ISO/IEC JTC1/SC27Information technology
Security techniques
WG3Security Evaluation
criteria
WG1Requirements,
Security Services,Guidelines
WG2
Security techniques
and mechanisms
ISO/IEC JTC1/SC27Information technology
Security techniques
ISO/IEC JTC 1/SC27
Information technology
Security techniques
WG3
Security evaluation
criteria
WG1
Requirements,
Security Services
and guidelines
情報セキュリティマネジメント(ISO/IEC 17799,GMITS TR 13335,
TTP,IDS等)
ITセキュリティ評価基準
(ISO/IEC 15408)
・暗号アルゴリズムの標準化
・暗号をベースとしたセキュリティメカニズム
(認証、署名、鍵管理、否認防止等)
Copyright JIPDEC ISMS, 2004 22
ISO/IEC 17799:2000の改訂Information Security Management System
1st CDへの
コメント検討・反映
9/6– 2/18
コメント検討・反映
*規格作成のプロセスは、ISO/IEC JTC1 Directive に準拠している。*ISO/IEC 17799:2000の改訂については、現時点での推測である。
April 2004Oct. 2002 April 2003 Oct. 2003 Oct. 2004 April 2005Oct. 2001 April 2002
第25回
ポーランドワルシャワISO SC27
第27回
フランスパリ
ISO SC27
第30回オーストリア
ウィーンISO SC27
総会
第29回
ブラジルフォルタレザISO SC27
第28回
(シンガポール)ISO SC27
総会
2ndCD投票
2/19-5/19
FCD投票
6/17– 10/1
April 2001
早期改訂承認の可否投票
6/26-8/27
EDの配付・
検討・反映
12/10-6/25
改訂版EDの
配付・コメント募集
6/26-9/19
改訂版EDの
コメント検討・反映
9/19-6/5
1st CD投票
6/6-9/5
ISO/IEC 17799
改訂作業
Stage 2作成段階
Stage 3委員会段階
コメント検討・反映10/2-11/29
FDIS投票2ヶ月11/30-1/31
コメント検討・反映
早期改訂の承認
注 ED (Editor’s Document)CD (Committee draft)FCD (Final Committee draft)FDIS (Final Draft International Standard)
第23回
韓国ソウル
ISO SC27
第26回カナダ
ケベックISO SC27
総会
第22回デンマーク
オスロISO SC27
総会
第24回ドイツ
ベルリンISO SC27
総会
Oct. 2005
第31回マレーシアISO SC27
規格発行
Stage 5発行段階
Stage 4承認段階
Copyright JIPDEC ISMS, 2004 23
ISMS国際規格化Information Security Management System
正当性調査(Justification Study)*G72
NP投票7/1 – 10/1
規格案コメント募集7/1 – 9/30
FCD投票(JTC1内)11/30-3/31
FDIS投票
(ISO全体)
2ヶ月
規格発行
*規格作成のプロセスは、ISO/IEC JTC1 Directive に準拠している。*ISMS国際規格化については、現時点での推測である。
Stage 4承認段階
Stage 0準備段階
Stage 1・2提案段階作成段階
注 CD (Committee draft)FCD (Final Committee draft)FDIS (Final Draft International Standard)
Oct. 2003
第27回
フランスパリ
ISO SC27
April 2004
第28回
(シンガポール)ISO SC27
総会
Oct. 2004 April 2005
第30回オーストリア
ウィーンISO SC27
総会
第29回
ブラジルフォルタレザISO SC27
Oct. 2005
第31回(マレーシア)ISO SC27
April 2006
第32回
ISO SC27総会
コメント検討・反映等
コメント検討・反映等
Oct. 2006
第33回
ISO SC27
Stage 3委員会段階
コメント検討・反映等
ISMS仕様
Stage 5発行段階
Copyright JIPDEC ISMS, 2004 24
IUGとの関連図Information Security Management System
英文ISMS認証取得事業者リスト(審査登録機関の了承を得た分のみ:378事業者)
ISMS IUG ISMSジャーナル
英国
米国
ドイツ
香港&マカオ
インド韓国
スウェーデンシンガポール
日本IUG支部
翻訳認証取得
事業者リスト
JIPDECISMS制度推進室
BS 7799認証取得
事業者情報
: 情報の流れ: 今後の予定
ISMS審査登録機関
(現在14機関)JQA,JICQA,KPMG,BSI-J,JUSE-ISO,JSA,
JACO-IS, DNV, MEMSRC,CCR,JMAQA,PJRJ,JATE,TECO
BS 7799審査登録機関(現在27機関)
BSI,BVQI,Certification Europe,CIS,DNV,DQS,JACO-IS等
ISMS認証取得事業者
BS 7799認定機関
UKAS等
認定
BS 7799認証取得事業者
認定
2004年12月7日現在
認証認証
各国IUG支部(設立予定含む)
サポート
日本におけるISMSの動向
ブラジル
オーストラリア
カナダ
ノルウェー
ポーランド
Copyright JIPDEC ISMS, 2004 25
各国毎のBS7799登録証発行数Information Security Management System
出典:http://www.xisec.com/※JIPDEC-ISMSも含む。 2004年 12月 5日現在
国名 発行登録証数 国名 発行登録証数 国名 発行登録証数日本 462 中国 9 アラブ首長国連邦 2
英国 171 ノルウェー 9 コロンビア 1
インド 69 スイス 5 エジプト 1
ドイツ 33 オーストリア 4 レバノン 1
韓国 30 アイスランド 4 ルクセンブルク 1
台湾 32 ポーランド 4 マカオ 1
イタリア 23 スウェーデン 4 マケドニア 1
オランダ 17 ブラジル 3 マレーシア 1
香港 15 ギリシャ 3 モロッコ 1
米国 13 メキシコ 3 カタール 1
オーストラリア 11 サウジアラビア 3 スロベニア 1
フィンランド 11 アルゼンチン 2 南アフリカ共和国 1
シンガポール 11 ベルギー 2 Relative Total 995
ハンガリー 10 デンマーク 2 Absolute Total 986
アイルランド 10 スペイン 2
絶対総数(Absolute Total)は、実際の認証取得事業者数を表しています。
相対総数(Relative Total)は、認証の適用範囲が複数の国にかかる登録(multi-nation registrations)又は重複登録(dualregistration)を反映しています。© ISMS International User Group 2002-2004
Copyright JIPDEC ISMS, 2004 26
ご静聴ありがとうございました
(財)日本情報処理開発協会
情報セキュリティ部 ISMS制度推進室
Tel: 03-3432-9386
FAX: 03-3432-6200
E-mail: [email protected]
Web: http://www.isms.jipdec.jp/
Information Security Management System