情報セキュリティマネジメントシステム審査(ISO27001)

  • セミナーリスト
  • お問い合わせ
  • 見積り・申し込み

ISMSの特長

ISMS規格は,次のような特長があります。
(1) マネジメントシステム規格(MSS)の共通化対応
ISMS(情報セキュリティ),QMS(品質),EMS(環境)等の各種マネジメントシステム規格構造の共通化(HLS: High Level Structure、上位構造と呼ばれています)が進んでいます。ISMS規格は,QMSやEMSに先んじて,このHLSに対応しています。従って,従前の規格の構造とは大きく変更されています。(図1参照)
(2) リスクマネジメント規格への対応
ISO 31000(JIS Q 31000)「リスクマネジメント−原則と指針」の考え方を導入して,標準的なリスクマネジメントプロセスと整合するようになっています。
(3) 社会,技術等の環境変化への対応
社会や技術の変化を反映して,新しい管理策(セキュリティコントロール)が導入されており,管理策の体系が見直されています。


図1 改正されたISMS規格の構造(HLSの採用)

↑このページのトップへ

ISMSの導入期待効果

新規格に移行することにより,次のような効果が期待されます。
(1) 企業・組織のガバナンス強化
新規格では,マネジメントシステム規格の共通構造のもとで,計画段階での経営視点での見直しが要求されており,従前のISMSと比べて,より経営的要素を加味した企業・組織のガバナンスを強化した仕組みが構築することができます。
(2) リスクアセスメントの改善
新規格では,リスクアセスメントの要求が,より柔軟化されており,組織の状況や特性に応じたリスクアセスメント方式を採用することが可能になっています。それにより,従来方式では漏れていた新たなリスクを発見することも期待されます。
(3) 新たなリスクへの対応
管理策の見直しが行われ,供給者関係,ICTサプライチェーン,プロジェクトでのリスクといった新たな管理策が導入されていますので,それらの管理策を採用して,情報セキュリティの更なる強化を図ることができます。

↑このページのトップへ

JACOのサポートサービス

お客様がISMS構築及び運用が円滑にできるよう,次のようなサービスを提供していきます。
ISO/IEC 27001:2013移行のポイント解説(1日)
ISO/IEC 27001:2013規格版ISMS内部監査員養成コース(2日)
ISO/IEC 27001:2013規格版ISMS構築基礎コース(2日)
ISO/IEC 27001:2013規格版ISMS審査員研修コース(5日)
ISO/IEC 27001:2013規格版ISMS差分研修コース(半日)
また,お客様のご希望によるオンサイトセミナーも可能ですので,お問い合わせ下さい。 (例:内部監査員向け 新規格差分解説セミナー)

↑このページのトップへ

認証審査について

(1)ISMS認証規格
 ●ISO/IEC 27001:2013(JISQ 27001:2014)
 (情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項)
 ※第三者認証用の規格です。
(2)認定機関
 UKAS(英国認証機関認定審議会)
 ISMS-AC(情報マネジメントシステム認定センター)

↑このページのトップへ

ISMSオプション審査

 ISMSオプション審査とは、お客様が選択された審査基準(各省庁のガイドライン、等)に基づき、ISMS審査と同時に審査を行う情報セキュリティ強化のための付加価値サービスです。このサービスは、ISMS審査とオプション審査を同時に行うことにより、時間的・経済的に効率化を図りかつお客様の業務に合った情報セキュリティ強化を図ることを目的としています。


(1) 個人情報保護マネジメントシステム(JIS Q 15001)
 ISMS認証取得されているお客様でプライバシーマーク付与認定を受けているお客様が多数あります。ISMS審査の中では、個人情報保護に関する審査も実施していますが、個人情報保護マネジメントシステム(JIS Q 15001)に基づく審査を望むお客様が年々増加しています。このお客様ニーズに対応して、ISMS審査時に個人情報保護マネジメントシステムに基づく審査を行い個人情報保護対策を強化するサービスです。
(2) 金融機関等のコンピュータシステム安全対策基準(FISC)
 金融機関業務・取引決済機能などを扱う情報システムに対する安全対策基準がFISC(金融情報センター)で制定されています。この基準は、機能面から1)コンピュータ、2)本部・営業店等、3)流通・小売店舗等の提携チャネル、4)ダイレクトチャネルの4つの分類毎に安全対策が定められています。 金融機関等の情報システムについて機能面からの分類毎に適合性を審査するサービスです。
(3) クラウドサービス利用のための情報セキュリティマネジメントガイドライン(経済産業省)
 各種情報システムのクラウドサービスへの移行が進展していますが、クラウドサービスに対する情報セキュリティに関する懸念があり利用が限定的です。このガイドラインは、1)利用者のための実施の手引き、2)クラウド事業者の実施が望まれる事項に分類されて管理策が記載されており、この分類毎に適合性を監査するサービスです。
(4) 取引先情報セキュリティ基準による審査
 情報セキュリティ事件・事故の多くは取引先で発生しています。このため、お客様が定めた取引先情報セキュリティ基準により情報セキュリティ監査経験豊富な審査員が取引先の監査を行うサービスです。
(5) その他ご要望の基準に対するオプション審査
 上記以外の監査基準に基づく監査もお客様と相談の上、対応を検討します。

↑このページのトップへ