ISMSの評価基準は、ISOやJISの規格になっており、第三者機関が審査する制度もあります。
- JIS Q 27001、ISO/IEC27001
- JIS Q 27001/27002は、ISO/IEC 27001/27002を日本語訳にしたもので、内容は同じです。
次の2つの規格があります。
JIS Q 27001(情報セキュリティマネジメントシステム-要求事項)
JIS Q 27002(情報セキュリティマネジメント-実践のための規範)
JIS Q 27001(要求事項)は、組織がISMSを実践していることを監査・認証するときに、評価の基準となる項目を列挙したものです。監査・認証を目的とせずに、組織がISMSを適切に導入、維持、向上するときの参考資料としても利用できます。
JIS Q 27002(実践規範)の目的は、ISMSを導入・運用するときに、どの組織にも利用できる、一般的な手引を提供するものです。ISMSを実践するときに管理すべき事項を列挙し、その管理目的と複数の管理策、それぞれの管理策の実施の手引、注意事項などを示しています。 - ISMS適合性認証制度
- ISMS適合性評価制度は、企業等の組織が構築したISMSがJIS Q 27001(ISO/IEC 27001)に適合しているかを、専門的な認証機関が審査し、審査に合格した組織を登録する制度です。
審査申請をした組織に対して、セキュリティ関連文書による文書審査と、それが実践されていることを確認する実地審査を行い、合格したときには認定書を発行し、ISMS適合性マークの使用が認められます。また、原則として3年ごとに更新審査を行い、その間に維持・改善が行われたことが求められます。 - 情報セキュリティ監査制度
- 情報セキュリティ監査制度は、組織の情報セキュリティに関して監査を行い、保証と助言を行う制度です。これもJIS Q 27001に準拠しており、ISMS適合性認証制度と似ていますが、次のような違いがあります。
ISMS適合性認証制度 情報セキュリティ監査制度
準拠規格 JIS Q 27001 同左
性格 審査・認証 監査・助言
機関 認証機関 指定なし
特典 認証書・マークの利用 特になし
有効期間 3年ごとの更新審査 規定なし
それで、ISMSを導入した当初の頃は、情報セキュリティ監査制度により助言を受けつつ成熟度を高め、ある程度の成熟度に達した段階で、ISMS適合性認証制度により認証を受けるようにするのが適切です。