1

「ＩＳＭＳ適合性評価」認証取得支援コンサルティングのご提案

平成2x年xx月xx日

特定非営利活動法人東京ＩＴコーディネータ

Copyright©2005-2014 NPO東京ITC

Copyright©2005-2014 NPO東京ITC 2

企業の社会的な責任の遂行とリスク対応（ CSR:Ｃｏｐｏｒａｔｅ Ｓｏｃｉａｌ Responsibility ）

効果的な安全管理措置

株主 地域社会

行政

取引先 顧客

従業員ＣＳＲ

企業の社会的責任遂行

誠実な顧客対応

法令･社会的規範の遵守

有用な製品サービス提供

収益の獲得と納税

株主利益の保護

環境への配慮

仕事･私生活両立への配慮

キャリアプラン

市民活動支援

個人情報漏洩防止機密情報流出防止

人材リスク

情報リスク

環境リスク

安全リスク

コンプライアンスリスク

ガバナンスリスク

「企業価値」の向上

情報の共有適切な情報開示

ステークホルダーとの関わりの中での活動

事業継続

委託先監督責任

従業者監督責任

ブランド構築

内部統制、J-SOX法

Copyright©2005-2014 NPO東京ITC 3

①故意による人為的脅威不正アクセス紛失、破壊改竄、漏洩悪用著作権侵害、不正使用プライバシー侵害コンピュータウィルス中傷・スパムメール

②事故・過失による偶発的脅威ハード障害ネットワーク障害ソフトバグ運用に関わる問題

③災害等による環境的脅威地震・雷・火事・水害・停電等によるシステム停止

情報セキュリティ・リスクへの体系的対応

情報資産の運用と管理

企業情報営業・技術個人情報顧客・従事者情報インフラ

脆弱性

ビジネスプロセス人組織アプリケーション建物・設備ネットワークＩＴ機器

リスク発生

（損失発生）

情報資産漏洩・破壊

信用崩壊

人材流出

経営体制弱体化

技術資産流出

設備資産破壊

経営者関与リスク評価組織的対応人的対応物理的対応‥

アクセスログＦｉｒｅＷａｌｌウィルスソフトＶＰＮＳＳＬ‥

マネジメント対策 技術対策

総合的なセキュリティ対策を実施するための継続的な仕組み

脅威情報資産

何を、何から、どう守るか?

●情報セキュリティ管理システムの確立・方針、責任権限の明確化・経営全般のリスクマネジメントの確立・効果的な管理策の実施・文書管理／記録管理の徹底等

Copyright©2005-2014 NPO東京ITC 4

ＩＳＭＳが求めていること

Ｄｏ

Ｃｈｅｃｋ

Ａｃｔ

情報セキュリティ方針の作成

文書・記録管理ルール

管理策の有効性測定

経営資源投入・配分

見直し実施改善指示

体制整備責任者選任

受容可能なリスク水準設定

経営者の役割

リスク分析・評価（リスクアセスメント）

情報資産の価値評価

情報資産のリスク分析・評価

リスク対応管理策などの選定

適用宣言書の作成

リスク対応計画作成

ISMSの運用状況の記録と管理

教育計画・要員の確保

違反・事件・事故の監視

内部監査実施

違反・事件・事故の予防

違反・事件・事故の再発防止

内部監査、レビュー等

ＰＬＡＮ

ＤＯ

ＣＨＥＣＫ

ＡＣＴ

Policy

Ｐｌａｎ

リスク対応計画・管理策の実施

ISMS運用マニュアル作成マネジメントレビュー

セキュリティ計画更新

改善意図説明と目標達成

情報セキュリティ統括管理者

ＣＩＳＯ

Copyright©2005-2014 NPO東京ITC 5

「ＩＳＭＳ適合性評価制度」とは何か

１．ＩＳＭＳの目的

ＩＳＭＳ適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントとしての第三者適合性評価制度であり、本制度は、わが国の情報セキュリティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的としたものです。

２．ＩＳＭＳの認証基準

ＩＳＭＳの認証基準（Ｖｅｒ．２）は、英国規格BS 7799-2：2002に基づき作成したもので、本基準で使用する用語、表現については、JIS X 5080：2002（国際規格ISO/IEC 17799：2000）との互換性を確保しています。2005年のISO/IEC27001の発行に伴い、これに対応して国内規格のJIS Q 27001が発行され、ＩＳＭＳ認証基準（Ｖｅｒ．２）は、 2006年5月20日よりJIS Q 27001：2006へ移行しました。

３．ＩＳＭＳの適用範囲

ＩＳＭＳの適用範囲は、企業情報を大量にマネジメントする企業内の部署を限定して導入を図ることが可能です。このため、ＩＳＭＳはＰマークに比べ大企業や事業所の多い企業に向いています。

４．登録と維持および更新登録

Copyright©2005-2014 NPO東京ITC 6

情報セキュリティの規格動向

2008/42007/42006/42004/4 2005/42002/4 2003/42001/4

英国規格ＢＳ7799-1

1995年

英国規格ＢＳ7799-2

1998年

国際規格ISO/IEC7799:2000 (2000/12)ISO/IEC7799:2005

(2005/6/15)

ISO/IEC27002:2007

(予定)

国内規格JIS X 5080:2002 (2002/2)

ISMS認証基準v0.8

ISMS認証基準v1.0

ISMS認証基準v2.0(2003/4)

JIS Q 27002:2006 (2006/5/20)

JIS Q 27001:2006 (2006/5/20)

BS7799-2:2002 (2002/9) 国際規格ISO/IEC27001:2005 (2005/10/15)

用語・表現

ISO化

改訂骨子

廃棄2007/11

初回審査終了2006/11

プライバシーマーク 国内規格JIS Q 15001:1999 (1999/3)

OECD8原則EU指令1995

経産省ｶﾞｲﾄﾞﾗｲﾝ1997

JIS Q 15001:2006 (2006/5/20)

個人情報保護法(2005/4全面施行)

経産省ｶﾞｲﾄﾞﾗｲﾝ2004/10

部分施行2003/5

▼

Copyright©2005-2014 NPO東京ITC 7

ISMSとプライバシーマークの比較

ISMS プライバシーマーク

目的 ・企業の情報資産全般のセキュリティマネジメントシステムの確立と運用・維持。・情報資産をリスクから守る。

・個人情報の取扱について適切に扱っている事業者を認定。・個人の権利・利益を守る。

適用方法 ・ソフト、ハードを含む情報資産全般⇒業種に関係なく適用・組織の必要性に合わせて範囲を決定

・自ら保有する個人情報⇒個人情報をある程度保有する業種・全社単位の取り組みが前提

審査適用規格

ISMS認証基準ver.2.0(BS7799)

ISO/IEC27001発行に伴いJIS Q 27001

が5/20に発行

現在はJIS Q 15001:1999

JIS Q 15001:2006が5/20に発行

認証取得状況

・2002年スタート・2010/5月現在‥3523事業者

・1998年スタート・2010/5月現在‥11437事業者

認証取得方法

・適用範囲を限定し逐次範囲拡大可能 ・事業者単位(全社単位)に取得

維持更新 ・毎年サーベランス・3年に1回更新

・2年に1回更新

特色 ・情報の安全を守る管理策を決定する手順が明確・B2B、 B2Cビジネスに有効

・管理策を決定する手順が明確でない。・B2Cビジネスに有効・個人情報が多い企業で有効

Copyright©2005-2014 NPO東京ITC 8

ＩＳＭＳの標準構築プロセス

トップの関与

ISMS確立フェーズ2～3ヶ月

スタート

適用範囲境界定義

ISMS導入・運用フェーズ1～2ヶ月

認証取得

予備審査

登録審査

ISMS監視・見直しフェーズ1～2ヶ月

現状の情報資産・ＨＷ/ＳＷなど

①適用範囲定義書②情報セキュリティ基本方針・情報セキュリティ基本規程④情報資産目録(台帳)⑤リスク評価シート⑥ リスクアセスメント報告書⑦リスク対応シート・情報セキュリティ対策規程⑧残留リスク一覧⑩適用宣言書

成果物例

審査登録機関決定

① ② ③ ④⑤ ⑥ ⑦ ⑧ ①

ＩＳＭＳ基本方針策定

リスクアセスメント方針策定

リスクの識別

リスクの分析評価

リスク対応選択肢評価

リスク対応管理策選択

導入運用の経営陣の許可

残留リスク等の承認

⑨

リスク対応計画策定

② ③ ④ ⑤ ⑥ ⑦

リスク対応計画の実施

運用状況の管理

経営資源の管理

セキュリティ事件事故対応

管理目的・管理策の実施

教育訓練の実施

①

監視手順確立と実施

② ⑦④ ⑤ ⑥

ＩＳＭＳの有効性見直し

マネジメントレビュー実施

セキュリティ計画更新

残留リスク等の見直し

ＩＳＭＳ内部監査の実施

①

ＩＳＭＳ改善策実施

② ③ ④

是正・予防処置の実施

実施処置の伝達・合意

改善目標の達成

ISMS維持・改善フェーズ2～3ヶ月

・情報資産管理手順書・リスクマネジメント手順書・情報ｾｷｭﾘﾃｨ対策基準

①リスク対応計画書・情報セキュリティ運営体制案・事業継続計画書⑤情報ｾｷｭﾘﾃｨ教育･訓練計画書・情報ｾｷｭﾘﾃｨ教育･訓練報告書⑥情報ｾｷｭﾘﾃｨ運用状況報告書⑧情報ｾｷｭﾘﾃｨ事件･事故報告書

・情報ｾｷｭﾘﾃｨ教育･訓練手順書・ISMS文書管理手順書・その他手順書

手順書例

⑤内部監査計画書・内部監査実施報告書⑥マネジメントレビュー議事録⑦セキュリティ計画改訂版⑧ISMS実施報告書

・内部監査手順書・内部監査チェックリスト・運営委員会実施手順

①改善計画/実施報告書

②是正･予防処置報告書

ＰＪ準備

ISO27001ベース(改1)

〔Ａ〕〔Ｐ〕 〔Ｄ〕 〔Ｃ〕維持審査更新審査

適用宣言書の作成

⑩

有効性測定方法規定

⑧ ③

管理策の有効性測定

⑧ＩＳＭＳ実施状況の記録

作業項目 回数1月 2月 3月 4月 5月 6月 7月 8月 9月 10月

〔Ｉ〕準備フェーズ 1①概略ヒヤリングと全体計画作成 ○②ＩＳＭＳ導入プロジェクトの編成 ○③PJキックオフ&情報セキュリティセミナー○

〔Ｐ〕ＩＳＭＳ確立フェーズ 11①適用範囲定義 　○②ISMS基本方針策定 　○③リスクアセスメント方針策定 　○④リスクの識別⑤リスクの分析評価⑥リスク対策選択肢評価

　　　　⑦リスク対応管理策選択・手順書作成⑧残留リスク等の承認 ○⑨ISMS導入運用の経営陣の許可 ○⑩適用宣言書の作成 ○

〔Ｄ〕ＩＳＭＳ導入・運用フェーズ 3①リスク対応計画策定 ○

　　　　②リスク対応計画の実施③管理目的・管理策の実施④有効性測定方法の規定 ○⑤教育訓練の実施⑥運用状況の管理⑦経営資源の管理⑧セキュリティ事件･事故対応

〔Ｃ〕ＩＳＭＳ監視・見直しフェーズ 3①監視手順確立と実施 ○②ISMSの有効性見直し③管理策の有効性測定④残留リスク等の見直し ○⑤ISMS内部監査の実施 ○⑥マネジメントレビューの実施 ○⑦セキュリティ計画更新 ○⑧ＩＳＭＳ実施状況の記録 ○

〔Ａ〕ＩＳＭＳ維持･改善フェーズ 2①ＩＳＭＳ改善策実施②是正予防措置の実施③実施処置の伝達 ○④改善目標の達成 ○

申請 ★予備審査 ★本審査 ★ ★ISMS認証取得 ★

20

PJ準備フェーズ

監視・見直し 維持改善フェーズ導入運用ISMS確立フェーズ

作業スケジュール例

Copyright©2005-2014 NPO東京ITC 9

Copyright©2005-2014 NPO東京ITC 10

事業活動特色

法的規制

事業 組織

全社

など

５つの要素を切り口に適用範囲を決める

適用範囲の決定の考え方

取得目的、取得目標、取得期間、取得体制

本社ビル

データセンター

所在地

工場

業務上の要件

契約上の要件

資産 技術

特定の事業部

特定の一部門

特定のサービス

など など

顧客情報

個人情報

社員情報

技術情報

など

システム技術

システム構成

ネットワーク構成

など

守るべき事業・業務⇒守るべき情報資産

情報機器

○利害関係者に信頼を与えるように設計する

Copyright©2005-2014 NPO東京ITC 11

情報セキュリテイ管理システム構築の推進体制（例）

代表者

情報セキュリテイ統括管理者

(ＣＩＳＯ)

外部コンサル(東京ＩＴＣ)

総務部総務部営業部門営業部門情報システム部情報システム部 生産部門生産部門

情報セキュリティ委員会事務局(情報セキュリティ推進Ｇ)

経理部経理部

情報セキュリティ委員会

①代表者による役員クラスの任命

②情報セキュリティ統括管理者が委員会を立上げ

③各部門の代表者をセキュリティ管理者として委員に任命

④セキュリティ実務を担当するメンバーを任命。構築と運用を担当。

統括管理者、事務局を支援する

Copyright©2005-2014 NPO東京ITC 12

・「情報セキュリティ」とは情報の機密性、完全性、可用性を保つことであり、このセキュリティに対する考え方(ポリシー)を明文化し、全社員で共有する

情報セキュリティ方針

情報セキュリティ対策規程

情報セキュリティ実施手順ガイドライン

情報セキュリティへの基本的な考え方を宣言し、情報セキュリティを考える上でのよりどころとする。基本方針文書と基本規程で構成。

情報セキュリティ管理上で実施すべき基本的な対応策を指針として示す。・事業部門は、事業推進上の固有の要求事項に応じて、補完・強化する。

情報セキュリティ管理を実施する上で参照すべき手順書、ガイドライン、社内関連規定。・事業部門は、必要に応じて個別のガイドラインを作成し、合わせて運用する。

全社共通事項 部門補完・強化

情報セキュリティ文書体系

「セキュリティポリシー」

ポリシー

スタンダード

プロシジャー

Copyright©2005-2014 NPO東京ITC 13

ＩＳＭＳ文書体系ISMS文書 実施記録等 関連規程・マニュアルにおけるセキュリティ関連事項 実施記録

ポリシーISMS構築稟議書ISMS構築社内通達

情報ｾｷｭﾘﾃｨ基本方針 情報ｾｷｭﾘﾃｨ方針書

情報ｾｷｭﾘﾃｨ基本規程 ISMS適用範囲規程書 情報システム構築規程 情報システム取得・開発規程 各種申請書

基本方針文書規程 ISMS適用宣言書 物理・環境的セキュリティ管理規程 入退出管理記録

外部サービス規程 契約書・ＳＬＡ

スタンダード 情報システム運用規程 基幹システム運用規程 情報システム運用記録

リスク対応計画書 アクセスログ

管理策別目標・有効性評価表 利用者ID管理基準 利用者ID申請書

ユーザ認証基準 特権パスワード管理台帳

情報ｾｷｭﾘﾃｨ委員会規程 委員辞令 ウィルス対策基準

委員会議事録 バックアップ基準 バックアップ記録

マネジメントレビュー規程 レビュー議事録 暗号化管理規程

セキュリティ事象対応規程 セキュリティ事象事故報告書 情報システム利用規程 情報資産調達規程 情報資産購入申請書

緊急時・異常時対応規程 基幹システム利用規程 基幹システム利用申請書OAシステム利用規程

事業継続計画規程 グループウェア等利用規程 グループウェア等利用申請書

安全管理規程

適用法令規程

情報システム維持規程 変更管理規程

ISMS教育規程 教育計画書 情報システム保守規程 保守報告書教育実施報告書

ネットワーク管理規程 社内ネットワーク管理規程 ネットワーク監視報告書

ISMS内部監査規程 監査計画書 外部ネットワーク利用規程

監査実施報告書

是正処置報告書 業務関連規程

ISMS文書・記録管理規程 規程文書一覧 就業規則 罰則規程 誓約書（社員）

記録帳票一覧 人的セキュリティ対策規程 誓約書（外部）

職務規程 職務定義書

プロシジャー 各種業務マニュアル 個別業務別マニュアル 各種手順書

情報資産管理手順書 情報資産調査票／台帳 外注・購買管理規程 外部委託規程 外部委託契約書

情報資産目録 外部委託先選定基準 秘密保持契約書

リスクマネジメント手順書 リスク管理票

残留リスク一覧 個人情報保護関連規程 各種規程･細則

その他社内規定 社内稟議規程 稟議書

情報ｾｷｭﾘﾃｨ方針

情報ｾｷｭﾘﾃｨ対策規程

情報ｾｷｭﾘﾃｨ対策実施手順

情報システム関連規程

Copyright©2005-2014 NPO東京ITC 14

標準コンサルティング

コンサルティング(オプション)

研修(オプション)

NPO法人東京ITCが提案する取得支援作業

【NPO法人東京ITC】

実効性のある

Ｐマーク＆ＩＳＭＳ認証

取得支援

導入企業における人材育成

組織定着

現場へのスムースな導入ﾘｽｸ最小化提案

最後まで徹底指導完全性

原則複数名担当制信頼性

テンプレート活用効率性

支援実績Ｐマーク：約２０社 ＩＳＭＳ：５社

個別支援作業／アフターフォロー調査・ヒヤリング・教育・監査

お客様の「顧客満足度向上マネジメント｣を支援

(コンプライアンス経営の確立)

守秘契約堅持安全性

プロジェクト管理確実性

みずほ銀行、ＢＳＩなど有力企業との提携