情报适合性评価制度.pdfVIP

ISMS 情報セキュリティマネジメントシステム適合性評価制度 ― ISMS 認証基準（Ver. 0.8） ― 平成 13年 4 月 1 日 財団法人 日本情報処理開発協会 ISMS 認証基準(Ver.0.8) 本文書（ISMS 認証基準）は、情報セキュリティマネジメントシステム適合性評価制度において、第 三者である指定審査機関が本制度の認証を希望する事業者の適合性を評価するための認証基準で ある。本基準は、国際規格 ISO/IEC 17799:2000 （Information technology -- Code of practice for information security management：情報技術 － 情報セキュリティマネジメント実施基準） 及 び英国規格 BS 7799-2:1999 (Specification for information security management systems： 情報セキュリティマネジメントシステム仕様)を参照し作成したものである。 また本基準は、時代に適合したものであり続けるために、情報セキュリティに関する国際標準のJIS 化の動向や JIS 化後の周知状況等を踏まえ、適宜見直し及び改訂されるものである。 （財）日本情報処理開発協会 ― 1 ― ISMS 認証基準(Ver.0.8) ■第１ 適用範囲 本基準は、情報セキュリティマネジメントシステム（以下、「ISMS 」という）の確立、実施及び文 書化についての要求事項を明記する。 ■第２ 用語及び定義 (１)情報セキュリティ 情報の機密性、完全性及び可用性を確保し維持すること。 (２)リスク評価 情報や情報処理施設等に対する脅威及びその脅威への脆弱性を分析し、その結果からリ スクが顕在化する可能性及び顕在化した場合の事業への影響度を検証すること。 (３)適用宣言書 組織の必要性に基づいて適用される管理目的及び管理策を詳述した文書。 ■第３ ISMS の要求事項 (１)一般 ① 組織固有の ISMS を確立し維持するため、以下の項目について文書化すること。 (ｱ)保護すべき情報資産 (ｲ)リスクマネジメントに対する組織の取組方法 (ｳ)管理目的及び管理策の内容 (ｴ)保護すべき情報資産に要求される保証の度合い (２)マネジメント枠組みの確立 ① 管理目的及び管理策の内容を明確にすること。 ② ①の目的及び内容を文書化するために以下の作業を実施すること。 (ｱ)情報セキュリティポリシーの策定 (ｲ)ISMS の対象範囲の決定 (ｳ)リスク評価 (ｴ)リスクマネジメントの対象範囲の決定 (ｵ)管理策の選択 (ｶ)適用宣言書の作成 ③ ②の各項目について、定期的もしくは必要に応じて見直しすること。 (３)管理策の実施 ① 選択された管理策を講ずること。 ② 管理策を講ずるために採用された手続きについて、第 4 10（2）に従いその有効性を確 認すること。 (４)文書化 ① ISMS 文書に以下の内容が含まれていること。 ― 2 ― ISMS 認証基準(Ver.0.8) (ｱ)第 3（2）の作業の証拠