独立行政法人 情報処理推進機構
セキュリティセンター
セキュリティ評価について
セキュリティ評価には、組織の対策状況を評価するもの( ISMS 適合性評価制度、情報セキュリティ監査、情報セキュリティ対策ベンチマークなど)やセキュリティ製品の評価( IT セキュリティ評価及び認証制度、暗号モジュール試験及び認証制度など ) があります。 その目的は、
- 自社の情報セキュリティ対策の実施状況を確認する
- 自社のセキュリティ対策状況の外部への説明する
- 外部委託先や子会社のセキュリティ対策状況を確認する
- セキュリティ製品等へ必要なセキュリティ機能が実装されているか確認する
などです。
このページでは、組織の情報セキュリティ対策状況を評価する手法として、 ISMS 適合性評価/情報セキュリティ監査と情報セキュリティ対策ベンチマークの概要を説明し、 3 者の違いを比較します。
概要
- (1)情報セキュリティ対策ベンチマーク
-
組織の情報セキュリティ対策の実施状況を, Web ページ上の質問に答えることで自らが評価します。質問は JIS Q 27001:2006 をベースに作成されており、質問(評価項目)の量を抑えていることから、セキュリティ対策が進んでいない層でも容易に取組むことが可能です。実データに基づき,他社との比較を行う相対的評価、スコアによる定量的評価を行います。
- (2)ISMS 適合性評価
-
組織が構築した情報セキュリティマネジメントシステムが、適切に組織内に整備・運用されていることを、認定された審査登録機関と審査員が、 ISMS 認証基準(国際規格と同等の規格である JIS Q 27001:2006 )への適合性という観点から評価し、その結果に基づき認証を与える制度です。
- (3)情報セキュリティ監査
-
- a) 保証型情報セキュリティ監査
- 組織が構築した情報セキュリティマネジメントの整備・運用状況が、監査結果を利用する者(委託元など)の期待する水準にあるか否かについて、独立かつ専門的な立場の監査人が、一定の基準※に照らし、保証意見を表明する監査形態です。
- b) 助言型情報セキュリティ監査
- 組織が構築した情報セキュリティマネジメントの整備・運用状況について、独立かつ専門的な立場の監査人が、一定の基準※に照らして不十分な点を検出し、必要に応じて検出事項に対応した改善提言を表明する監査形態です。
※情報セキュリティ監査に用いる基準
情報セキュリティ管理基準、および公的な基準あるいは業界等の基準を参照して策定された個別管理基準を評価に用います。なお、情報セキュリティ管理基準の準拠する規格が JIS X 5080:2002 から JIS Q 27001:2006 に変更されたことに伴い、現在情報セキュリティ管理基準 Ver2.0 への改定が進められています。
評価方法の比較
診断・助言 | 認証 | 保証 | ||
---|---|---|---|---|
評価 名称 |
情報セキュリティ対策ベンチマーク | 助言型情報セキュリティ監査 | ISMS適合性評価 | 保証型情報セキュリティ監査 |
利用の目的 | 組織の情報セキュリティ対策の整備・運用状況の自己評価 | 組織が目指す情報セキュリティマネジメントの整備・運用状況の評価 | 情報セキュリティマネジメントシステムの認証 | 顧客等が期待する情報セキュリティマネジメントの整備・運用状況の保証 |
目指すべきセキュリティ水準 | 経営者が 目指す水準(望まれる水準や平均値を参照) |
経営者が 目指す水準 |
経営者が 目指す水準 |
顧客等が 期待する水準 |
対象範囲 | 組織体*1 | 特定業務・サービス、組織体*1 | 組織体*1、特定業務・サービスなど | 特定業務・サービス、組織体*1 |
評価に用いる基準 | JIS Q 27001:2006 を参照し作成された 25 の評価項目 (簡易的・固定) |
情報セキュリティ管理基準等を参照し作成された個別管理基準 (個別的) |
JIS Q 27001:2006 (包括的) |
情報セキュリティ管理基準等を参照し作成された個別管理基準 (個別的) |
評価者 | 経営者、管理者 (自己評価) |
監査人 (第三者評価) |
審査員 (第三者評価) |
監査人 (第三者評価) |
評価の アウトプット |
散布図、レーダーチャート、スコア、助言 | 助言意見 | ISMS認証 登録証 |
保証意見 |
費用 | 無料 | 有料 | 有料 | 有料 |
*1:組織体とは、組織の全部・一部・複合組織を指します。複合組織とは、複数の連携した組織群を グループとして評価するケースです。
これらの評価のベースとなる基準は 情報セキュリティマネジメントの規格である JIS Q 27001:2006, JIS Q 27002:2006 です。ただ、評価方法や評価項目の量、評価の詳細さには大きな違いがあります。
ベンチマークは他の評価に比べ、評価項目が少なく、自己診断であることから、作業量や評価に要する時間は比較的少なくて済みます。一方、中立の立場の専門家に評価を依頼する情報セキュリティ監査や ISMS 適合性評価では、より詳細な評価を行うことから、多くの作業や、時間、費用を必要とします。
情報セキュリティ対策ベンチマークは経営者の関与を考慮した評価を行い、ISMS 適合性評価制度は規格への適合性を評価し、保証型情報セキュリティ監査は、利用者が期待する水準を満たすかを評価します。なお、ISMS 適合性評価制度の準拠する規格は、経営者の視点から情報セキュリティマネジメントについて記載したものであり、その意味で、いずれの評価も、経営者の視点からの評価と言えます。