information security management system isms適合性評価制度 … ·...

Copyright JIPDEC ISMS, 2004 1

ISMSISMS適合性評価制度の適合性評価制度の最新状況最新状況

財団法人日本情報処理開発協会

情報セキュリティ部 ISMS制度推進室

２００４年12月

http://www.isms.jipdec.jp

Information Security Management System

JIPDECの許可なく転載することを禁じます


目次

ISMS適合性評価制度の現状

ISMSの国際動向




ＩＳＭＳ適合性評価制度の現状

ISMS適合性評価制度の目的

ISMS適合性評価制度の適合基準

ISMS適合性評価制度の運用

JIPDEC（組織運営機構）

ISMS適合性評価制度の事業実施状況

認証基準・ガイドの一覧

基準・規程・手順の一覧

認定されたISMS審査登録機関

認定されたISMS審査員研修機関

ISMS認証基準（Ver.1.0）認証の取扱い

認証取得事業者数推移

機関別認証登録事業者数

地域別認証取得事業者数

都道府県別認証取得事業者数

ISMS審査員登録者数推移



ISMS適合性評価制度の目的

情報セキュリティマネジメントシステム（Information Security Management System：以下ISMSという）適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントに対する第三者適合性評価制度である。

本制度は、わが国の情報セキュリティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的としたものである。


ISMS適合性評価制度の適合基準


ISO/IEC Guide 62およびEA 7/03(認定基準)(品質システム審査登録機関に対する一般要求事項：General requirements for assessment and accreditation of certification/registration of quality management systems)

ISMS認証基準（Ver.2.0）(BS 7799-2:：Information security management systems-Specification with guidance for use )

審査登録機関（認証機関）

認定機関適合基準ISO/IEC Guide 61およびEA 3/08

（認証機関および審査登録機関の認定審査ならびに認定機関に対する一般要求事項：

General requirements for assessment and accreditation of certification/registration bodies)

認定（Ａｃｃｒｅｄｉｔａｔｉｏｎ）

適合基準

評価希望事業者

認証（Ｃｅｒｔｉｆｉｃａｔｉｏｎ）

適合基準



ISMS適合性評価制度の運用

証明書発行

受講

認定機関 (JIPDEC)認定機関

（JIPDEC/ISMS制度推進室)申請

意見・苦情等

申請③

評価⑦審査①

（認証）

申請⑧

　審査④⑤

　　　（認定）

申請⑥

評価希望事業者審査員研修機関

審査登録機関

審査員希望者

審査員評価登録機関JIPDEC

ISMS審査員評価登録室

審査②

（認証）

①ISMS認証基準

②ISMS審査登録機関認定基準

③ISMS審査登録機関認定の手順

④ISMS審査員研修機関認定基準

⑤ISMS審査員研修コース基準

⑥ISMS審査員研修機関認定の手順

⑦ISMS審査員資格基準

⑧ISMS審査員登録の手順

証明書発行

受講

認定機関 (JIPDEC)認定機関

（JIPDEC/ISMS制度推進室)認定機関 (JIPDEC)認定機関

（JIPDEC/ISMS制度推進室)申請

意見・苦情等

申請③

評価⑦審査①

（認証）

申請⑧

　審査④⑤

　　　（認定）

申請⑥

評価希望事業者審査員研修機関

審査登録機関

審査員希望者

審査員評価登録機関JIPDEC

ISMS審査員評価登録室

審査②

（認証）

①ISMS認証基準

②ISMS審査登録機関認定基準

③ISMS審査登録機関認定の手順

④ISMS審査員研修機関認定基準

⑤ISMS審査員研修コース基準

⑥ISMS審査員研修機関認定の手順

⑦ISMS審査員資格基準

⑧ISMS審査員登録の手順


JIPDEC（組織運営機構）Information Security Management System

上級経営者上級経営者

ISMS事業統括責任者

ISMS事業統括責任者

外部認定審査員外部認定審査員

内部監査内部監査

判定委員会判定委員会

運営委員会運営委員会

技術専門部会技術専門部会

登録・業務部門登録・業務部門審査部門審査部門

（注）ISMS制度推進室の組織運営機構は、ISO/IEC Guide61を準用


ISMS適合性評価制度の事業実施状況Information Security Management System

4月５月６月７月８月９月１０月１１月１２月１月２月３月

運営委員会

技術専門部会

法規適合性

に関する

ISMS

ガイド

（仮称

）

業種別ガイド

委員会等

認証基準系のガイド等の作成

説明会

普及広報活動

FAQ

ISMS

構築事例集

リスク

マネジメント編

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　第１回　　　　　　　　　　　　　　　　第２回　　　　　　　　　　　　　　　　　　　　　　　　　第３回　　　　　　　　　　　第４回　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　●　　　　　　　　　　　　　　　　　　　●　　　　　　　　　　　　　　　　　　　　　　　　　　　●　　　　　　　　　　　　　●　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　9/10　　　　　　　　　　　　　　　　　11/10　　　　　　　　　　　　　　　　　　　　　　　予定　　　　　　　予定

随時更新

J004公開( 6/24) ●

●本文公開（4/2）

●J007公開（10/6）

●付録１公開（7/12）

全国（９箇所）予定

●情報セキュリティシンポジウム10/5

　第１回　　第２回　　　第３回　　　　　　　第４回　　　　　　　　　　　　　　第５回　　　第６回　　　　　　　　　　第７回　　　第８回　　　　▲　　　　　▲　　　　　▲　　　　　　　　　　▲　　　　　　　　　　　　　　　　▲　　　　　　▲　　　　　　　　　　　　▲　　　　　▲・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・▲　　　　4/28 　 5/18　　　6/2　　　　　　　　　7/16　　　　　　　　　　　　　　 9/3　　　　　9/28　　　　　　　　　　11/4　　　11/24　　　　　　　　　　　　　　　以降　月１回程度

ISMSユーザーズガイド　－リスクマネジメント編－

随時更新

●公開11/8

－医療機関向けー　ISMSユーザーズガイドー

作成

－ISMS構築事例集－（随時更新中）J006公開( 7/5) ●

●J005公開（9/3）

現在公開中事例（V1）のV2移行

　　　　　　●10/28　●11/11　●11/24●公開予定

●12/10 ●12/14大阪　　　　東京


認証基準・ガイドの一覧Information Security Management System

ISMS認証基準（Ver2.0）の要求事項について一定の範囲でその意味するところを説明しているガイド。

JIP-ISMS111-1.0ISMSユーザーズ

ガイド

英国規格BS 7799-2:2002に基づき作成したもので、本基準で使用する用語、表現については、JIS X 5080：2002（国際規格ISO/IEC 17799：2000）との互換性を確保し、第三者である審査登録機関が本制度の認証を希望する事業者の適合性を評価するための基準。

JIP-ISMS100-2.0ISMS認証基準（Ver.2.0)

既にISMS認証を取得した事業者の構築事例を、インタビューを基にまとめたもの。

JIP-ISMS112-1.1ISMS構築事例集

ISMSユーザーズガイドを補足し、リスクマネジメントとりわけリスクアセスメント及びその結果に基づくリスク対応についての理解を深めるためのガイド。

JIP-ISMS113-1.0ISMSユーザーズ

ガイド

-リスク

マネジメント編-

概要文書番号文書名


基準・規程・手順の一覧Information Security Management System

申請から登録までと登録維持の標準的な流れと条件を示したもの

JIP-ISAC211-1.0ISMS審査員研修機関認定の手引

申請から登録までと登録維持の標準的な流れと条件を示したもの

JIP-ISAC111-1.0ISMS審査登録機関認定の手引

ISMS審査員評価登録機関の認定審査及び登録を行う際の認定基準。

JIP-ISAC300-1.0ISMS審査員評価登録機関認定基準

認定マークの表示及び適用条件等について定めた規程JIP-ISAC510-1.3ISMS認定マーク使用規程

ISMS審査員の資格基準を補完したもの。JIP-ISAC401-1.0ISMS審査員の資格基準に対する補足

審査員等を登録する手順JIP-ISAC410-1.2ISMS審査員登録の手順

審査員等（審査員補、審査員、主任審査員）についての資格基準

JIP-ISAC400-1.0ISMS審査員の資格基準

審査員研修機関が認定を受けるための手順JIP-ISAC210-1.2ISMS審査員研修機関認定の手順

審査員研修コースの内容について定めた基準JIP-ISAC220-1.0ISMS審査員研修コース基準

審査員向けの研修を行う研修機関の認定審査及び登録を行う際の認定基準

JIP-ISAC200-1.0ISMS審査員研修機関認定基準

審査登録機関が認定を受けるための手順JIP-ISAC110-1.2ISMS審査登録機関認定の手順

審査登録機関の認定審査及び登録を行う際の認定基準JIP-ISAC100-1.0ISMS審査登録機関認定基準

概要文書番号文書名


認定されたISMS審査登録機関Information Security Management System

2004年11月26日現在2004年11月26日現在

認定番号機関名称

財団法人日本品質保証機構マネジメントシステム部門

ISR002 日本検査キューエイ株式会社

ISR003 株式会社ケーピーエムジー審査登録機構

ISR004 ビーエスアイジャパン株式会社

ISR005 財団法人日本科学技術連盟 ISO審査登録センター

ISR006 財団法人日本規格協会審査登録事業部

ISR007 株式会社日本情報セキュリティ認証機構

ISR008 ﾃﾞｯﾄﾉﾙｽｹﾍﾞﾘﾀｽｴｰｴｽ DNV認証事業日本支社

ISR009 株式会社エヌ・ティ・ティエムイーマネジメントシステム審査登録センタ

ISR010 株式会社中央青山審査登録機構

ISR011 社団法人日本能率協会審査登録センター

ISR012 ペリージョンソンレジストラー株式会社

ISR013 財団法人電気通信端末機器審査協会ＩＳＭＳ審査登録センター

ISR001

ISR014 株式会社トーマツ審査評価機構



認定されたISMS審査員研修機関

2004年2月20日現在2004年2月20日現在

認定番号機関名称

IST001 株式会社テクノファ (テクノファ)IST002 株式会社エル･エム･ジェイ･ジャパン (LMJ)IST003 ビーエスアイジャパン株式会社 (BSI-J)

IST004 ケイピーエムジー・エムエムシー株式会社研修事業部 (JISO)

IST006リコー・ヒューマン・クリエイツ株式会社リコー情報セキュリティ研究センター (R-ISaP)

IST007 ＮＴＴソフトウェア株式会社 (NTT SOFT)IST008 株式会社グローバルテクノ (GTC)IST009 日本電気株式会社Ｅラーニング事業部 (NEC)IST010 株式会社日本環境認証機構 (JACO)

社団法人中部産業連盟 ISO事業推進部 (中産連)

中央青山PwCコンサルティング株式会社中央青山PwCビジネススクール (CBS)株式会社アーク (アーク)

IST011

IST012

IST013

2004年11月26日現在2004年11月26日現在



ISMS認証基準（Ver.1.0）認証の取扱い

ISMS認証基準(Ver.2.0)により初回審査を行う。

2004年10月1日以降、ISMS認証基準(Ver.1.0)による初回登録はできない。

①

認証の一時停止後、次の維持審査もしくは更新審査までの間に、ISMS認証基準(Ver.2.0)への差分審査により移行した場合、認証登録の一時停止を解除できる。

2005年10月1日時点で、ISMS認証基準(Ver.1.0)から(Ver.2.0)への移行が完了していない場合、 ISMS認証登録は無効となり、認証登録の一時停止もしくは認証登録の取消しとする。

④

2005年9月30日までに差分審査を実施する。

ISMS認証基準(Ver.1.0)から(Ver.2.0)への差分審査による移行は、2005年9月30日までに実施する。

③

ISMS認証基準(Ver.2.0)により維持審査を行う。

2004年10月1日以降、ISMS認証基準(Ver.1.0)による維持審査はできない。

②

対応内容№


認証取得事業者数推移Information Security Management System

2004年12月３日現在

3 3 8 6 18 11 6 12 10 318

3716 16 11 11 13 25 27 19 33 24 28

4828 16 19 20 19 19 20 13 13 6 14 20

38 49 55 67 77 8098

135151

167 178 189 202227

254273

306330

358

406434

450469

489508

527547

560 561

0

100

200

300

400

500

600

2 0 0 2年　 4月

5月 6月 7月 8月 9月 10 月 11 月 12 月

2 0 0 3年　 1月

2月 3月 4月 5月 6月 7月 8月 9月 10 月 11 月 12 月

20 0 4年　 1月2月 3月４月５月６月７月８月９月

10 月１１月 12 月

登録累計 Ver.2.0累計

登録

513

累計


機関別認証登録事業者数Information Security Management System


188

26

18

183

25

14

62

7

6

3

8

6

8

7

0 20 40 60 80 100 120 140 160 180 200

JQA

JICQA

KPMG RJ

BSI-J

JUSE-ISO Center

JSA

JACO-IS

DNV

MEMSRC

CCR

JMAQA

PJR

JATE

TECO


地域別認証取得事業者数


北海道東北関東

中部近畿中国四国

九州沖縄

１１件２６件

３５４件４５件６５件１８件

７件２６件

４件

合計５５６件

関東63%

中部8%

近畿12%

中国3%

四国1%

九州5%

沖縄1%

北海道2% 東北

5%




都道府県別認証取得事業者数

北海道 11 青森 3 茨城 6 富山 5 福井 5岩手 1 栃木 3 石川 7 滋賀 0宮城 7 群馬 4 岐阜 1 0 京都 7秋田 4 埼玉 6 愛知 2 1 大阪 44山形 4 千葉 1 6 三重 2 兵庫 8福島 7 東京 25 6 奈良 0

神奈川 4 3 和歌山 1新潟 3山梨 4長野 5静岡 8

小計 11 26 35 4 4 5 65

鳥取 0 徳島 1 福岡 1 2 沖縄 4 県報告なし 5島根 3 香川 2 長崎 3岡山 6 愛媛 3 佐賀 0広島 6 高知 1 熊本 6山口 3 大分 2

宮崎 0鹿児島 3

小計 18 7 2 6 4 5

合計

注：

20 04 年 12 月 3 日現在

本データは、 J IP D E C に報告された認証取得事業者の所在地を基に作成しており、関連事業所の所在地は含まれていません。

東北近畿北海道関東中部

沖縄九州中国

56 1

四国その他


ISMS審査員登録者数推移Information Security Management System


9891,069

1,1151,179

1,2591,321

1,375

314 318 318 319 319 320 322

498 500 501 501 501 502 502

0

200

400

600

800

1,000

1,200

1,400

1,600

2002.5～2004.3 2004.4 2004.5 2004.6 2004.7 2004.8 2004.9

審査員補審査員主任審査員

訂正版

（10、11月は未集計）



ISMSの国際動向

ISMS認証基準制定の経緯

ISO/IEC JTC1/SC27の構成

ISO/IEC 17799：2000の改訂

ISMS国際規格化

IUGとの関連図

各国毎のBS 7799登録証発行数


ISMS認証基準制定の経緯Information Security Management System

２００３年４月１９９９年４月２０００年４月２００１年４月２００２年４月

BS 7799-2：2002（2002年9月）

JIS X 5080(2002年2月）

ISMS認証基準（Ver.1.0）

（2002年4月）

ISO/IEC 17799：2000（2000年12月）

（改訂）

英国規格BS7799-1

英国規格BS7799-2

２００４年４月

ISMS認証基準（Ver.2.0）（2003年4月）注３

２００５年４月

ISMSパイロット事業

ISMS本格運用ISMS

検討期間

JIS化

ISMS認証基準（Ver.0.8）

（2001年4月）

2003年9月まで可能

注1

2004年9月で廃止

注2

注1：Ver.1.0による初回審査は2003年9月

30日まで可能。

注2：Ver.1.0は、は2004年9月30日で廃止。

注3：ISMS認証基準(Ver.2.0)は、英国規格BS 7799-2:2002をベースとし、用語、表現については、JIS X 5080:2002との互換性を確保。


ISO/IEC JTC1/SC27の構成


WG2Security techniques

and mechanisms

ISO/IEC JTC1/SC27Information technology

Security techniques


Security techniques

WG3Security Evaluation

criteria

WG1Requirements,

Security Services,Guidelines

WG2

Security techniques

and mechanisms


Security techniques

ISO/IEC JTC 1/SC27

Information technology

Security techniques

WG3

Security evaluation

criteria

WG1

Requirements,

Security Services

and guidelines

情報セキュリティマネジメント（ISO/IEC 17799,GMITS TR 13335,

TTP,IDS等）

ITセキュリティ評価基準

（ISO/IEC 15408）

・暗号アルゴリズムの標準化

・暗号をベースとしたセキュリティメカニズム

（認証、署名、鍵管理、否認防止等）


ISO/IEC 17799：2000の改訂Information Security Management System

1st CDへの

コメント検討・反映

9/6– 2/18


＊規格作成のプロセスは、ISO/IEC JTC1 Directive に準拠している。＊ISO/IEC 17799:2000の改訂については、現時点での推測である。

April 2004Oct. 2002 April 2003 Oct. 2003 Oct. 2004 April 2005Oct. 2001 April 2002

第25回

ポーランドワルシャワISO SC27

第27回

フランスパリ

ISO SC27

第30回オーストリア

ウィーンISO SC27

総会

第29回

ブラジルフォルタレザISO SC27

第28回

（シンガポール）ISO SC27

総会

2ndCD投票

2/19－5/19

FCD投票

6/17– 10/1

April 2001

早期改訂承認の可否投票

6/26－8/27

EDの配付・

検討・反映

12/10－6/25

改訂版EDの

配付・コメント募集

6/26－9/19

改訂版EDの


9/19－6/5

1st CD投票

6/6－9/5

ISO/IEC 17799

改訂作業

Stage 2作成段階

Stage 3委員会段階

コメント検討・反映10/2-11/29

FDIS投票2ヶ月11/30-1/31


早期改訂の承認

注 ED （Editor’s Document）CD （Committee draft）FCD （Final Committee draft）FDIS （Final Draft International Standard）

第23回

韓国ソウル

ISO SC27

第26回カナダ

ケベックISO SC27

総会

第22回デンマーク

オスロISO SC27

総会

第24回ドイツ

ベルリンISO SC27

総会

Oct. 2005

第31回マレーシアISO SC27

規格発行

Stage 5発行段階

Stage 4承認段階


ISMS国際規格化Information Security Management System

正当性調査（Justification Study）*G72

NP投票7/1 – 10/1

規格案コメント募集7/1 – 9/30

FCD投票（JTC1内）11/30-3/31

FDIS投票

（ISO全体）

2ヶ月

規格発行

＊規格作成のプロセスは、ISO/IEC JTC1 Directive に準拠している。＊ISMS国際規格化については、現時点での推測である。

Stage 4承認段階

Stage 0準備段階

Stage 1・2提案段階作成段階

注 CD （Committee draft）FCD （Final Committee draft）FDIS （Final Draft International Standard）

Oct. 2003

第27回

フランスパリ

ISO SC27

April 2004

第28回

（シンガポール）ISO SC27

総会

Oct. 2004 April 2005

第30回オーストリア

ウィーンISO SC27

総会

第29回

ブラジルフォルタレザISO SC27

Oct. 2005

第31回（マレーシア）ISO SC27

April 2006

第32回

ISO SC27総会

コメント検討・反映等


Oct. 2006

第33回

ISO SC27

Stage 3委員会段階


ISMS仕様

Stage 5発行段階


IUGとの関連図Information Security Management System

英文ISMS認証取得事業者リスト（審査登録機関の了承を得た分のみ：３７８事業者）

ISMS IUG ISMSジャーナル

英国

米国

ドイツ

香港＆マカオ

インド韓国

スウェーデンシンガポール

日本IUG支部

翻訳認証取得

事業者リスト

JIPDECISMS制度推進室

BS 7799認証取得

事業者情報

：情報の流れ：今後の予定

ISMS審査登録機関

（現在１４機関）JQA，JICQA，KPMG，BSI-J，JUSE-ISO，JSA,

JACO-IS， DNV, MEMSRC，CCR，JMAQA,PJRJ,JATE,TECO

BS 7799審査登録機関(現在２７機関）

BSI，BVQI，Certification Europe，CIS，DNV，DQS，JACO-IS等

ISMS認証取得事業者

BS 7799認定機関

UKAS等

認定

BS 7799認証取得事業者

認定

2004年12月７日現在

認証認証

各国IUG支部（設立予定含む）

サポート

日本におけるISMSの動向

ブラジル

オーストラリア

カナダ

ノルウェー

ポーランド


各国毎のBS7799登録証発行数Information Security Management System

出典：http://www.xisec.com/※JIPDEC－ISMSも含む。 2004年 12月 5日現在

国名発行登録証数国名発行登録証数国名発行登録証数日本 462 中国 9 アラブ首長国連邦 2

英国 171 ノルウェー 9 コロンビア 1

インド 69 スイス 5 エジプト 1

ドイツ 33 オーストリア 4 レバノン 1

韓国 30 アイスランド 4 ルクセンブルク 1

台湾 32 ポーランド 4 マカオ 1

イタリア 23 スウェーデン 4 マケドニア 1

オランダ 17 ブラジル 3 マレーシア 1

香港 15 ギリシャ 3 モロッコ 1

米国 13 メキシコ 3 カタール 1

オーストラリア 11 サウジアラビア 3 スロベニア 1

フィンランド 11 アルゼンチン 2 南アフリカ共和国 1

シンガポール 11 ベルギー 2 Relative Total 995

ハンガリー 10 デンマーク 2 Absolute Total 986

アイルランド 10 スペイン 2

絶対総数(Absolute Total)は、実際の認証取得事業者数を表しています。

相対総数(Relative Total)は、認証の適用範囲が複数の国にかかる登録（multi-nation registrations）又は重複登録（dualregistration）を反映しています。© ISMS International User Group 2002-2004


ご静聴ありがとうございました

(財)日本情報処理開発協会

情報セキュリティ部 ISMS制度推進室

Tel: 03-3432-9386

FAX: 03-3432-6200

E-mail: [email protected]

Web: http://www.isms.jipdec.jp/


information security management system isms適合性評価制度 … ·...

Documents