More Related Content
Similar to The role of_accreditation_in_conformity_assessment_in_digital_society (20)
The role of_accreditation_in_conformity_assessment_in_digital_society
- 1. © 2021 ISMS Accreditation Center
デジタル社会を支える適合性評価制度
における認定の役割
2021年5月29日
一般社団法人情報マネジメントシステム認定センター
代表理事 山内 徹
「マネジメントシステム認定・認証制度」 講演会
- 2. 2 © 2021 ISMS Accreditation Center
自己紹介
山内 徹
【経歴】
◼ 2001年 経済産業省 産業技術環境局管理システム標準化推進室長 兼 工業標準調査室長
◼ 2008年 内閣参事官(内閣官房情報通信技術(IT)担当室)
◼ 2012年 経済産業省 産業技術環境局認証課長
◼ 2013年 一般社団法人JPCERTコーディネーションセンター 主席研究員
◼ 2015年 一般財団法人日本情報経済社会推進協会 常務理事
◼ 2018年 一般社団法人情報マネジメントシステム認定センター 代表理事
◼ 2021年 情報セキュリティ大学院大学セキュアシステム研究所 客員研究員に就任
マネジメント
システム規格
の担当
適合性評価制度の担当
- 3. 3 © 2021 ISMS Accreditation Center
◼ 名称:一般社団法人情報マネジメントシステム認定センター(略称:ISMS-AC)
(法人番号:9010405016615)
■所在地:東京都港区六本木一丁目9番9号 六本木ファーストビル内
■設立:2018年4月2日
■業務内容:
・マネジメントシステムの認証機関の認定
・国際レベルの認定機関間の相互承認及び協力
・その他当法人の目的を達成するために必要な業務
ISMS-ACの概要
*2001年より一般財団法人日本情報経済社会推進協会(JIPDEC)の一部門として認定事業を実施していた。
- 4. 4 © 2021 ISMS Accreditation Center
【2021年5月11日現在】
◼ ISMS(情報セキュリティマネジメントシステム)(2002年4月~)
認定:27機関 認証組織:6,426組織
ISMSクラウドセキュリティ認証 認定:13機関 認証組織:232組織
ISMS-PIMS認証 認定:1機関 認証組織:2組織
◼ ITSMS(ITサービスマネジメントシステム) (2007年4月~)
認定:6機関 認証組織:193組織
◼ BCMS(事業継続マネジメントシステム)(2010年3月~)
認定:5機関 認証組織:94組織
◼ CSMS(制御システムセキュリティマネジメントシステム)(2014年7月~)
認定:2機関 認証組織:4組織
◼ 要員認証機関
認定:1機関
ISMS-ACの認定実績
- 5. 5 © 2021 ISMS Accreditation Center
本日のご説明の内容
1. デジタル社会における適合性評価の意義
2. 情報分野の主なマネジメントシステム(ISMS、ITSMS)
の紹介
3. ISMS認証機関の認定基準の概要
4. 国際的な認定機関フォーラムの活動
5. 国際規格に基づく国内認定機関の役割
- 6. 6 © 2021 ISMS Accreditation Center
デジタル社会に向けたデータ戦略
◼ デジタル社会においては、データが国の豊かさや国際競争力の基盤。
◼ 一方、データのローカライゼーションなど保護主義の動きも出てきて
いる。
◼ データの自由な流通(Data Free Flow with Trust:DFFT)の理念に
基づく国際的なルール作りの構築が重要。
◼デジタル社会を支える国際標準化への参画と適合性評価
制度の確立が益々重要に!
- 7. 7 © 2021 ISMS Accreditation Center
日本のデータ戦略のアーキテクチャ
(出典:データ戦略タスクフォース第一次とりまとめ:令和2年12月21日 デジタル・ガバメント閣僚会議決定)
オンライン
上の当人認
証のこと
マネジメン
トシステム
- 8. 8 © 2021 ISMS Accreditation Center
政府情報システムのためのセキュリティ
評価制度(ISMAP)
(参考:IPA「政府情報システムのためのセキュリティ評価制度」 https://www.ipa.go.jp/security/ismap/index.html)
◼ 政府のセキュリティ要求を満たすクラウドサービスを予め評価・登録する制度
*ISMAP: Information system Security Management and Assessment Program
◼ 内閣官房、総務省及び経済産業省が所管し、IPAが運用支援機関。
ISMAP管理基準
• ガバナンス基準、マネジメント基準、管理策基準
の3つで構成
• ISO/IEC 27000ファミリーの規格を基にした「ク
ラウド情報セキュリティ管理基準」や「ガバナン
ス基準」
クラウドサービス事業者への要求事項
ISMAP監査機関登録規則
• 監査機関の組織体制等の要件
情報セキュリティ監査基準
• 情報セキュリティ監査の監査人の規範
監査機関への要求事項
クラウドサービスの政府調達における情報セキュリティ監査の導入
- 9. 9 © 2021 ISMS Accreditation Center
情報分野の主なマネジメントシステム
◼デジタル化の進展の中で、組織における情報分野のマネ
ジメントシステム導入への必要性は高まっている。
ITSMS
(IT Service Management System)
日本語訳は、ITサービスマネジメントシステム
ISMS
(Information Security Management System)
日本語訳は、情報セキュリティマネジメントシステム
- 10. 10 © 2021 ISMS Accreditation Center
◼ データを保護するために、組織が保護すべき情報資産を洗い出し、機密性
(Confidentiality)、完全性(Integrity)、可用性(Availability)を
バランスよく維持し、改善していくマネジメントシステムのこと。
ISMSとは何か?
◼ ISO/IEC 27001は、ISMSを構築・運用す
るための要求事項を規定した国際規格。
ISO/IEC JTC1 SC27において、関連規格と
併せて、いわゆる27000ファミリーとして作
成されてきた。
◼ 近年、ISO/IEC 27001に基づくISMSに取
り組む組織は、欧米、日本のみならず、中国、
インドにおいても急速に増加している。
- 11. 11 © 2021 ISMS Accreditation Center
◼ ITサービスの運用管理のために、ITサービスの見える化、品質向上、安定
した運用の強化に役立つマネジメントシステムのこと。
ITSMSとは何か?
◼ ISO/IEC 20000-1は、ITSMSを構
築・運用するための要求事項を規定した
国際規格。ISO/IEC JTC1 SC40にお
いて、関連規格と併せて、いわゆる
20000シリーズとして作成されてきた。
◼ DX組織として実践していくべき活動の
推進エンジンとして活用可能。
- 12. 12 © 2021 ISMS Accreditation Center
ISMS認証を取得した組織数の推移
◼ 日本国内のISMS認証組織数は順調に増大
(出典:https://isms.jp/lst/ind/index.html )
144 423 852
1,583
2,168 2,646
3,176
3,465
3,783
4,030
4,243
4,493
4,620
4,827
5,152
5,497
5,797
6,086
6,358
6,426
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
- 13. 13 © 2021 ISMS Accreditation Center
ISMS適合性評価制度とは何か?
◼ ISO/IECの国際標準の世界では、製品やサービス等について、規格
に基づいて評価することを「適合性評価(Conformity
Assessment)」と呼ぶ。
✓ 製品認証
✓ 要員認証
✓ マネジメントシステム認証
✓ 試験・校正
✓ 検査
◼ 「ISMS適合性評価制度」は、ISMSを構築・運用する組織に対する
「マネジメントシステム認証」であって、ISMS-ACから認定を受け
た適合性評価機関(認証機関)が認証を行うスキーム。
- 14. 14 © 2021 ISMS Accreditation Center
適合性評価機関とは何か?
◼ 適合性評価を実施する機関(Conformity Assessment Body)であり、略し
てCAB(キャブ)と呼ばれる。
◼ 欧米のCABの源流は、19世紀以降の産業の発展と密接な関係。
✓ ドイツ発のCAB:蒸気ボイラーの安全の保障。
✓ 米国発のCAB:万国博覧会での大量の電球使用による火災を危惧した保険会社が、電
気技師に試験方法の立案と試験実施を依頼。
✓ 英国発のCAB:国家標準化機関から適合性評価部門等を分離独立。
(注)現代の大手適合性評価機関は多国籍企業。
◼ 日本で創設されたCABの大半は、法規制に基づく指定検査機関等を出自と
し、特定分野での活動が多く、海外への事業展開は十分に進んでいない。
- 15. 15 © 2021 ISMS Accreditation Center
CABが満たすべき基準
◼ 国際的な活動を行う複数のCABの力量を同等に保つために、国際標
準化機構(ISO)及び国際電気標準化会議(IEC)により、CABへの
要求事項が国際規格として作成されてきた。
✓ 要員認証機関に対する要求事項:ISO/IEC 17024
✓ 試験所に対する要求事項:ISO/IEC 17025
✓ マネジメントシステム認証機関に対する要求事項:ISO/IEC 17021-1
✓ 製品、プロセス及びサービスの認証を行う機関に対する要求事項:ISO/IEC
17065
・・・・・・・・・・・・・・・・・
◼ 日本では、これらの国際規格はJIS化され、国内認定機関によるCAB
の認定活動に利用されている。
(注)CABは、適合性評価を実施する機関(Conformity Assessment Body)の略
- 16. 16 © 2021 ISMS Accreditation Center
ISO/CASCOの活動
◼ ISOの適合性評価に関する国際規格等を作成する委員会:CASCO (適合性評価委員会)
ISO理事会
政策開発
委員会
技術管理
評議会
技術WG 政策グループ
WG WG WG
CASCO
用語及び一般原則 ISO/IEC 17000
認定機関に対する要求事項 ISO/IEC 17011
試験・校正
機関に対す
る要求事項
ISO/IEC
17025
技能試験
ISO/IEC
17043
(一部省略)
検査機関
に対する
要求事項
ISO/IEC
17020
マネジメン
トシステム
ISO/IEC
17021-1
要員
ISO/IEC
17024
製品
ISO/IEC
17065
認証機関に対する要求事項
COPOLCO DEVCO
- 17. 17 © 2021 ISMS Accreditation Center
認定機関(Accreditation Body: AB)
適合性評価機関(認証機関)
(Conformity Assessment Body: CAB)
組織が構築・運用する
マネジメントシステム
認定基準(適合性評価機関の要求事項)
・ISO/IEC 17021-1:マネジメントシステム認証機関に対する要求事項
・ISO/IEC 27006: 情報セキュリティマネジメントシステムの審査及び認証を行
う機関に対する要求事項
認定機関の要求事項
ISO/IEC 17011
認証基準(マネジメントシステムの要求事項)
・ISO/IEC 27001:情報セキュリティマネジメントシステム
ISMS適合性評価制度の枠組
- 18. 18 © 2021 ISMS Accreditation Center
2000年度 通産省(当時)が「情報セキュリティ管理に関する国際的なスタンダードの導入及び情報処理サービス
業情報 システム安全対策実施事業所認定制度の改⾰について」公表
2001年度 「情報処理サービス業情報システム安全対策実施事業所認定制度」の廃止、JIPDECによるISMS適
合性評価制度のパイロット事業の開始
ISMS適合性評価制度の歴史
2002年度 ISMS適合性評価制度の本格運用の開始
2005年度 認証基準の移行(ISO/IEC 27001:2005)
2007年度 JIPDECが国際認定フォーラム(IAF)に加盟
2013年度 認証基準の移行(ISO/IEC 27001:2013)
2016年度 ISMSクラウドセキュリティ認証の開始(8月)
2018年度 ISMS-ACの設立(4月)、IAFのISMS MLA(国際相互承認協定)に加盟(7月)
2020年度 ISMS-PIMS認証の開始(12月)
- 19. 19 © 2021 ISMS Accreditation Center
ISMS適合性評価制度の役割の変化
制度創設
• 「安対制度」の受け皿
• JIPDECによる制度の運営 BS 7799-2をベースに認証基準を策定
2005年~
• 国際規格に基づく適合性評価 ISO/IEC 27001を認証基準に
• 認証機関数、認証組織数が増加 JIPDECは認定事業及び普及啓発を通じて支援
2016年~
• デジタル社会の進展への対応 ISMSセクター規格に基づく認証の開始
• 国際展開の推進 IAF/MLAの締結、APACピアエバリュエーションへの参加
- 20. 20 © 2021 ISMS Accreditation Center
ISO/IEC JTC 1/SC 27/WG 1の概要
◼ SC 27:情報/サイバーセキュリティ、プライバシー保護の標準化を担当する分科委員会
ISO理事会
技術管理
評議会
SC 27
WG 1 WG 2 WG 3
ISO/IEC
JTC 1
ISO/
TC 1
ISO/
TC 2
ISO
/TC 3
SC 2 SC 6
WG 4 WG 5
WG 1:
ISMS(情報セキュリ
ティマネジメントシ
ステム)規格を作成
用語
要求事項
ガイドライン セクター固有の
ガイドライン
ISO/IEC 27001
ISMS 要求事項
ISO/IEC 27002
管理策の実践規範
ISO/IEC 27010
ISMセクター間・組織間の
コミュニケーション
ISO/IEC 27000
ISMS 概要及び用語
ISO/IEC 27006
ISMS認証機関に対する
要求事項
ISO/IEC 27009
27001に基づくセクター
規格作成の要求事項
ISO/IEC 27003
ISMSの手引
ISO/IEC 27004
監視、測定、分析及び
評価の手引
ISO/IEC 27005
情報セキュリティリスク
マネジメントの指針
ISO/IEC 27007
ISMS監査の指針
ISO/IEC TS 27008
IS管理策の評価のための指針
ISO/IEC 27013
27001と20000-1の
統合導入についての手引
ISO/IEC 27014
情報セキュリティの
ガバナンス
ISO/IEC TR 27016
ISM-組織の経済的側面
ISO/IEC 27011
電気通信組織のための
情報セキュリティ管理策
ISO/IEC 27017
クラウドサービスのための
情報セキュリティ管理策
ISO/IEC 27019
エネルギー業界のための
情報セキュリティ管理策
ISO/IEC 27021
ISMS専門家の力量に関する
要求事項
サイバーセキュリティ
のガイドライン他
ISO/IEC 27102
サイバー保険のための
ISM指針
ISO/IEC TR 27103
サイバーセキュリティと
ISO及びIEC規格
ISO/IEC TS 27100
サイバーセキュリティの
概要及びコンセプト
ISO/IEC TS 27110
サイバーセキュリティ
フレームワーク策定の指針
ISO/IEC TS 27022
ISMSプロセスに関する手引
ISO/IEC TS 27006-2
ISMS認証機関に対する
要求事項 第2部: PIMS
- 21. 21 © 2021 ISMS Accreditation Center
◼ セクター毎の情報セキュリティのための管理策の手引・管理策に
関するガイダンス規格の策定(ISO/IEC JTC 1/SC 27/WG 1)
✓ ISO/IEC 27011 電気通信事業者
✓ ISO/IEC 27017 クラウドサービスの提供者・利用者
✓ ISO/IEC 27019 エネルギー業界
◼ プライバシー情報の保護のためのISMSの拡張に関する規格の策定
(ISO/IEC JTC 1/SC 27/WG 5)
✓ ISO/IEC 27018 クラウドサービスにおけるPII処理事業者
✓ ISO/IEC 27701 PII管理者・PII処理者
ISMSセクター規格の策定
これらの規格は、主に、ISO/IEC 27002:2013
(汎用的な情報セキュリティ管理策)に基づいて作成されている。
- 22. 22 © 2021 ISMS Accreditation Center
◼ ISMSクラウドセキュリティ認証(ISO/IEC 27001+JIPDEC基準)
✓ISO/IEC 27017に沿ったクラウドサービスの情報セキュリティ管理の要求事項
に対応しているかを審査し、認証する。
✓対象は、クラウドサービスを提供する、クラウドサービスプロバイダ(CSP)
クラウドサービスを利用する、クラウドサービスカスタマ(CSC)
◼ ISMS-PIMS認証(ISO/IEC 27701*)
✓ISO/IEC 27701に沿って、個人情報の処理によって影響を受ける可能性のある
プライバシー保護の要求事項を満たしているかを審査し、認証する。
✓対象は、PIIを取り扱うための利用目的と手段を決定する、PII管理者
PII管理者の指示に従ってPIIを処理する、PII処理者
* ISO/IEC 27701:2019 プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針
ISMSセクター規格に基づく認証
2つの認証のいずれも、ISMS認証が前提
- 23. 23 © 2021 ISMS Accreditation Center
ISMSの認証機関が満たすべき基準
◼ ISMSの認証機関は、以下の2つの要求事項への適合が求められる。
✓ ISO/IEC 17021-1 マネジメントシステムの審査及び認証を行う機関に対する要求事項
(参考)QMSとEMSの認証機関に対する追加の要求事項
• ISO/IEC 17021-2 第2部:環境マネジメントシステムの審査及び認証に関する力量要求事項
• ISO/IEC 17021-3 第3部:品質マネジメントシステムの審査及び認証に関する力量要求事項
✓ ISO/IEC 27006 情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する
要求事項
• ISO/IEC 17021-1と同様の文書構成で、同規格の項番毎に、ISMS特有の要求事項を追加
- 24. 24 © 2021 ISMS Accreditation Center
ISMSの認証機関が満たすべき基準
◼疑問1
ISO/IEC 17021 に加えて、ISO/IEC 27006が作
成された理由は何か?
◼疑問2
何故、ISMSの認定基準は ISO/IEC 17021-# で
はなく、ISO/IEC 27006 なのか?
(類似事例)食品安全マネジメントシステム(FSMS:ISO 22000)の場合は、ISMSと同様、
ISO/IEC 17021-# ではなく、ISO/TS 22003 を認定基準として利用。
- 25. © 2021 ISMS Accreditation Center
25
ISO 9001
1987
年制定
1994
年改訂
2000年改訂
品質システムからQMSへ
ISO/IEC Guide 62
1996年
制定
ISO/IEC 17021
2006年
制定
ISO/IEC Guide 66
BS77
99-1
EA 7/03 ISO/IEC 27006
ISO 14001
1999年
制定
1996年
EMS制定
2004年
改訂
BS
77
99 BS7799-2
2007年
制定
ISO/IEC Guide 62,
66に対するIAF
Guidanceに基づく
2005年
制定
ISO/IEC 17799
2002年
ISMS適合性評価制度開始
ISO/IEC 17021-1
ISO/IEC 17021-3:2017※
2008年
改訂
2015年
改訂
ISO/IEC 17021-2:2016 ※
TS版 2012
2015年
改訂
※ 17021-2~12(TS含む)が、特定分野のMS認証要員の力量用事項として制定されている。
2011年
制定
2011年
改訂
2015年
改訂
2015年
改訂
TS版
2013
1998
年制定
2000
年制定
1995
年制定
2007年
規格番号変更
2005年
改訂
2013
年改訂
2013年
改訂
ISO/IEC 27002
ISO/IEC 27001
(改訂については、主なものだけを示している。)
- 26. 26 © 2021 ISMS Accreditation Center
ISO/IEC 27001:2005発行に伴い早期に発行
ISO/IEC Guideを経由せず
(認証基準が英国規格であったため)
ISO/IEC 27006の発行の経緯(1)
◼前史:認定基準のISOガイド時代
✓ 1996:ISO/IEC Guide 62(QMS)
✓ 1999:ISO/IEC Guide 66(EMS)
✓ ????:IAF Guidance(QMS, EMS)
✓ 2000:EA-7/03(ISMS)
◼国際規格の発行の順序
✓ 2006:ISO/IEC 17021(ISO/IEC Guide 62 と66の統合)
✓ 2007:ISO/IEC 27006
✓ 2012:ISO/IEC TS 17021-2(EMSの審査及び認証に関する力量要求事項)
・2016年改訂にて、IS化(ISO/IEC 17021-2:2016)
✓ 2013:ISO/IEC TS 17021-3(QMSの審査及び認証に関する力量要求事項)
・2017年改訂にて、IS化(ISO/IEC 17021-3:2017)
- 27. 27 © 2021 ISMS Accreditation Center
ISO/IEC 27006の発行の経緯(2)
◼出自の違い
✓QMS/EMS:ISO/CASCOが認定基準を策定
✓ISMS:欧州認定フォーラム(EA)の主導により認定基準を策定
⚫英国規格(BS 7799-2)に基づく認証に対し、EAが実質的な
認定基準(EA 7/03)を作成
⚫その後、EAによる認定基準をベースにして、ISO/IEC JTC1が
国際規格を作成→ISO/IEC 27006
- 28. 28 © 2021 ISMS Accreditation Center
ISMS特有の要素
◼認証基準(ISO/IEC 27001)
✓ リスクアセスメントの位置づけが、QMSやEMSに比較して、ISMSを運用す
る組織にとっての重点の置き方が「より大きい」。
◼認定基準(ISO/IEC 27006)
✓ ISO/IEC 27001の認証審査において、リスクアセスメントに係る審査員の
力量が詳細に規定されている。
✓ 審査工数を導き出すための付加的指針として、ISMSの複雑さに起因する要素
(サーバー、ネットワーク、DRサイトの数など)が附属書に規定されている。
- 29. 29 © 2021 ISMS Accreditation Center
◼認定基準の内容
✓ ISMS特有の要求事項として、ISO/IEC 17021-1 では明確に規定されてい
ないものを認証機関に求めるため。
(例)認証文書(適用宣言書を含む。)、審査プロセス等
◼推測される他の理由(推測?)
✓ QMSやEMS等と比較して「新しい」マネジメントシステム規格であるISMS
特有の事情があった?
✓ ISMSの認証に関するルールをコントロールしたい、(ISO/IEC JTC1に
集った)ISMSコミュニティの思惑?
ISO/IEC 27006 の存在理由
- 30. 30 © 2021 ISMS Accreditation Center
◼ILAC及びIAFによる世界全体と地域毎のフォーラムとの二
階層構造となっている。
国際的な認定機関のフォーラム活動
EA
欧州
APAC
アジア太平洋地域
IAAC
南北アメリカ
ARAC
アラブ諸国
AFRAC
アフリカ
SADCA
南アフリカ
ILAC IAF
国際試験所認定協力 国際認定フォーラム
楕円は、マネジメントシステム認証
- 31. 31 © 2021 ISMS Accreditation Center
国際的な認定機関フォーラムへの参画
IAF(世界認定フォーラム)におけるISMS MLA署名認定機関
109認定機関メンバー中 42認定機関
APAC(アジア太平洋認定協力機構)におけるISMS MRA署名認定機関
71認定機関メンバー中 13認定機関(上記42認定機関に含まれる)
オーストラリア・ニュージーランド、台湾、中国、アメリカ (2機関)、インド、UAE
シンガポール、インドネシア、メキシコ、マレーシア、JAB、ISMS-AC
◼ 1998年のQMS 、2003年のEMS 等に続いて、APACにおける
ISMSのMRAは、IAFに先んじて2013年に発足。
2021年5月13日現在
- 32. 32 © 2021 ISMS Accreditation Center
◼ MLA (MultiLateral Recognition Arrangement):国際相互承認協定
各国の認定機関による適合性評価結果の同等性を担保するため、認定機関が相互
に認定活動を評価するもの。
・評価基準:ISO/IEC 17011(認定機関に対する要求事項)←前述
・IAF/APACが定めた基準
ピアエバリュエーション活動の重要性
◼ ISMS-ACのピアエバリュエーション実施実績
オーストラリア・ニュージーランド 2021年 マレーシア 2016年, 2020年
中華人民共和国 2015年, 2019年 メキシコ 2021年
インド 2020年 台湾 2013年, 2017年, 2021年
インドネシア 2020年 アメリカ 2018年
- 33. 33 © 2021 ISMS Accreditation Center
国際規格に基づく国内認定機関の役割
1. 国際基準の順守による認証の質の担保
✓ 国際規格に基づく適合性評価制度により、認証の質が担保される。
✓ 認証機関は、国際規格に沿った認定基準に基づく公平性・中立性
の高い第三者による証明に価値を見出せる
2. MLAの実現による認証の国際的な同等性
✓ IAF MLAに加盟する認定機関による認定を受けることで、認証の
結果は国際的な同等性を確保できる。
3. 国内での完結による信頼感の維持
✓ コスト面、利便性におけるメリット
✓ 地政学リスク等の回避(国際摩擦、巨大プラットフォーム事業者問題等)
- 34. © 2021 ISMS Accreditation Center
34
安心・安全なデジタル社会を目指し、
適合性評価制度を充実させて行きましょう!
●お問い合わせ先
一般社団法人情報マネジメントシステム認定センター
(略称:ISMS-AC)
03-5860-7570
it-contact@isms.jp