ISMSが注目されるわけ

情報セキュリティマネジメントシステムが注目されるわけ

かつての専用線を用いた通信技術からインターネットという共有通信技術への移行が進み、金融、営業販売、CADや様々なデータ通信など、IT技術が組織運営の基本になりつつある。
一方で、IT投資に伴う情報セキュリティの重要性が増大し、セキュリティが犯された場合、当該組織が被害に遭うだけでなく、IT技術で繋がっている外部の個人や企業・組織が甚大な被害に遭う危険性がある。
ISO/IEC27001規格は、このような情報のセキュリティのためのIT技術マネジメントシステムであるが、その視点は、当該の企業・組織のためだけではなく、IT技術で繋がっている外部の利害関係も対象になっている。
従って、この規格は、単なる組織の内部情報保全を目的としたものでなく、利害関係者に迷惑をかけないための、情報セキュリティのためのIT技術のマネジメントを狙ったものである事を理解しておかねばならい。
そして、第三者適合性審査の審査対象は、外部利害関係者からの情報の保全にあるが、外部の利害関係者を保護するためのIT技術管理は、組織内部の情報管理にも有用であることはもちろんであることは言うまでもない。

もともと、規格は利害関係者の間のコンセンサスを標準化する事が目的である。この規格はIT技術・製品・ソフトウエアを用いて多くの利害関係者と繋がっている利害関係者をも顧客とするものであり、単に企業のためのテキスト、指導書と誤解してはならない。そして、この意味で、第三者適合性審査が行われようとしているのである。

ISO27001には附属書Aに133項目のチェックすべきIT技術固有の項目規定されており、この要求事項がISO9001の汎用マネジメントシステム要求事項では不足だと考えられたポイントであった。
ただ、このIT技術固有の要求事項も、具体的には技術の変化は秒進分歩と言われる程に早く、リスクもまた次々に新しい形で襲来する。ISO/IEC27001のマネジメントシステム下で適用するセキュリティ技術も日々新たになっている。情報セキュリティ技術はこの変化に対応できなくてはならないことも認識しておく必要がある。

従来、「JIPDEC (一般財団法人 日本情報経済社会推進協会)」がISO27001の前身であるBS7799を用いてISMS認証機関の認定を行ってきたが、新たに「JAB(公益法人日本適合性認定協会)」もISMS認証機関の認定業務に参入している。

Copyright(c) 2017 JAPAN CHEMICAL QUALITY ASSURANCE LTD. All rights reserved.