044-246-0910
平林良人「新・世界標準ISOマネジメント」(2003年)アーカイブ 第29回
3.3.2 ISMS規格制定の経緯
- 1)英国での取り組み
- 1987年 DTI (Department of Trade and Industry:英国貿易産業省)は、情報システムユーザ向けに情報セキュリティマネジメントガイダンスを制定しようと動いたが時期尚早であった。
- しかし、 1990年DTIは産業界と協力して遵守コード文書「Code of Best Practice, Information Security Management」の開発に着手し、1993年にはその文書を公表した。BSIはこれを受ける形で、1995年に「BS7799:1995 A Code of Practice of Information Security Management」を発行した。
- BS7799:1995は、その後「BS7799-1:1995 情報セキュリティ管理実施基準」と、「BS7799-2:1998情報セキュリティ管理システム仕様」の2つに分かれた。BS7799-1規格は「パート1」と呼ばれ、情報セキュリティマネジメントの標準行動基準として使用された。BS7799-2規格は「パート2」と呼ばれ、情報セキュリティマネジメントシステムの標準規格として用いられるようになった。
- 英国では、これとほぼ同じ時期にC:CURE(セキュアと発音)と呼ばれる認定制度の運用が始まり、シェル石油社、ロジカSI社はBS779の審査登録を取得した。
- BS7799シリーズは、英国の国内向け規格としてスタートを切ったが、DTIの強い意向から、当初よりISO規格のような世界標準を目指す動きが続けられてきた。ひとつはオーストラリア等との相互承認協定の動きであり、もうひとつはISO規格化の動きであった。
- 2)ISO/IEC化の動き
- 1991年 ISOでは、情報セキュリティ機能に関する国際標準ガイドの検討が進められ、「ISO/IEC/JTC1/SC27 IT Security Techniques:情報技術セキュリティ・テクニック」と呼ばれる、情報セキュリティマネジメント関連の規格策定を議論する委員会が作られた。
- 1995年、この委員会は、BS7799-1:1995をISO規格にするためのファストトラック手続き(WD及びCDの審議プロセスを省略しDISから作業を開始することが可能な手続き)を始めたが、TMBの承認が得られずに終わった。
- しかし1999年JTC1/SC27は、再度BS7799-1:1999をファストトラックにする手続きを開始した。その結果、2000年10月に開かれたJTC1総会で3分の2のメンバーボディが賛成票を投じ、ISO/IEC 17799:2000情報技術-情報セキュリティ管理実施基準がISO化された。
- なお、1999年6月IT製品のセキュリティ評価基準としてのISO/IEC 15408情報技術評価基準も発行されている。
- また、現在は、BS7799-2:2000のISOJIS規格化が推進されているので注目していくことがよい。
- 3)日本における動き
- ISO/IEC17799:2000の制定により、国際的にISMS構築の動きが一段と高まった。
- (財)日本規格協会は、ISO/IEC17799:2000のJIS化を進め、2002年にはJIS X 5080:2002を制定した。
- 日本においても英国のC:CUREと同様の位置付けで、各組織が構築したISMSが国際的に望ましいとされる水準になっていることを認証する制度の必要性が強まってきた。
- 日本には、従来から通産省の「情報処理サービス業・情報処理システム安全対策実施事業所認定制度(安対制度)」が存在(1981年創設)していたが、その後継制度として新たにBS7799-2:1999を参考にした「情報セキュリティマネジメントシステム適合性評価制度」を発足させることになった。
- 2000年7月、経済産業省は情報セキュリティマネジメントに関する国際標準の導入指針を公表し、安対制度は2001年3月31日をもって廃止とされた。
- 2001年、財団法人日本情報処理開発協会(JIPDEC)は、ISO/IEC17799に基づくISMS適合性評価制度を創設した。この制度は、パイロット事業を経て民間主導によるISMS適合性評価の第三者審査登録(認証)制度として位置付けられるようになる。この制度は、2001年4月の時点では安対制度の後継制度のゆえ、情報処理サービス業のみを対象としたものであった。
- しかし、その後ISO/IEC17799の趣旨に鑑み、情報処理サービス業以外の普通の組織をも対象にした幅広いものに変更された。