経営者の方情報セキュリティマネジメントとPDCAサイクル

本文を印刷する

情報セキュリティマネジメントとPDCAサイクル

情報セキュリティマネジメントの規格や標準

管理策の選定にあたってよく参照されるのは、「Information technology - Security techniques - Code of practice for information security management(ISO/IEC17799)」という国際標準です。2000年に初めて国際標準化され、2005年に改訂されたこの規格は、2006年5月に「情報技術-セキュリティ技術-情報セキュリティマネジメントの実践のための規範(JIS Q 27002:2006)」としてJIS化されました。この規格は、情報セキュリティ対策を行う際の Code of Practice( = 実践規範)を記したものであり、ベストプラクティスとして様々な管理策が記載されています。組織は、これらの管理策から自社にあったものを適宜、取捨選択できます。

一方、組織のISMS構築、運用に関する第三者認証のための要求事項を記したISMS認証の規格が、「ISO/IEC27001:2005 Information technology - Security techniques - Information security management systems - Requirements」です。この規格も2006年5月に「JIS Q 27001:2006 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム - 要求事項」としてJIS化されました。

これら2つの規格は、いわば表と裏のようになっていて、ISO/IEC17799は情報セキュリティ対策の管理策集、ISO/IEC27001はその管理策を適切に運用していることを認証するための規格です。これらは、もともとはBS7799というひとつの規格でした。
BS7799は1995年にBSI(British Standards Institution:英国規格協会)により制定された情報セキュリティマネジメントシステムの英国規格で、情報セキュリティ対策を行う際の管理ガイドライン及びガイドラインへの準拠性を認証する仕組みを規定していました。

1995年にBS7799の国際標準化の動きはありましたが、英国の仕様に偏りすぎているなどの理由で、最初の試みは失敗に終わりました。そこで英国は、再度国際標準化を狙い、BS7799を二部構成のBS7799-1(Part1)、BS7799-2(Part-2)とし、Part1のみを国際標準化の土俵に載せました。この試みは効を奏し、2000年にはPart1がISO/IEC17799:2000として採用され、それに伴い英国規格もBS7799-1:2000として改正されました。 Part2はその後、プロセスアプローチ、PDCAサイクル、継続的改善等の考えを盛り込み、BS7799-2:2002となりました。

日本では、ISO/IEC17799:2000はJIS X 5080 :2002としてJIS化され、一方、BS7799-2:2002は、ISMS適合性評価制度におけるISMS認証基準のベースとなり、(財)日本情報処理開発協会により、2002年4月にISMS認証基準(Ver.1.0)として制定され、この基準によるISMS適合性評価制度が稼動し始めました。その後、2003年4月にISMS認証基準(Ver.2.0)が制定され、ISMS適合性評価制度はこの基準に基づくようになりました。
なお、2005年にBS7799-2:2002がISO/IEC27001:2005として国際標準化され、それがJIS Q 27001:2006としてJIS化されたのに伴い、ISMS適合性評価制度の準拠する基準はJIS Q 27001:2006に移行することになります。 移行期間は18ヶ月ですので、その間は、ISMS認証基準(Ver.2.0)に準拠した認証と、JIS Q 27001:2006に準拠した認証が混在することになります。

移行期間終了後(2007年11月)、全ての認証は、JIS Q 27001:2006に基づくことになります。

BS7799からISMS認証基準までの流れと標準化動向
BS7799からISMS認証基準までの流れと標準化動向

ちなみに、ISO/IEC17799:2005がJIS Q 27002:2006となった理由ですが、情報セキュリティマネジメントの国際規格は、今後27000シリーズとして整備される予定だからです。ISO/IEC 17799:2005も、2007年にはISO/IEC27002と名称変更の予定となっています。