ISMSの審査登録機関の認定取り消し
呉井嬢次(Johji Kurei)
財団法人日本情報処理開発境界(JIPDEC)が運営する情報セキュリティマネジメントシステム(ISMS)適合性評価制度による認証取得事業者数が950事業者を突破した。その一方で、ISMSの登録審査を行う審査登録機関が認定を取り消される事態が発生した。認定を取り消されたのは、株式会社エヌ・ティ・ティ エムイー(NTT-ME)で、2003年9月5日にJIPDECによって9番目に登録機関としては認定された。それから2年経たない間に、登録機関数は19機関に増えた。今年中にも登場する予定の情報セキュリティマネジメントシステムISO27001、ITサービスの国際化など情報システム市場の拡大を目前に、なぜNTT-MEは、認証取り消し(JIPDECのホームページでは「取り消し」と公表されている)となったのだろうか。
審査登録機関の認証取り消しの影響
審査登録機関が認定取り消しとなったところで、既にISMS認証取得している事業者には全く影響ないとは限らない。もし取り消しとなった登録機関によって審査が行われ、ISMS認証登録されていれば、一定期間後にその認証は無効となる。よって、認証取得事業者は、代わりの登録機関を探し、移行審査を受けることになる。なぜなら、認定機関(ISMSの場合はJIPDEC)は、審査登録機関に対して認証を行っており、ISMS認定取得した事業者に直接審査を行っているわけではない。
認定機関(JIPDEC) −> 審査登録機関 −> 認証取得事業者
ISMSの認証取得を目指す企業は、自社のISMSを構築し、認証取得のための審査に備える。だが、審査登録機関の選択は安易に決めている。審査料金、審査機関の規模や知名度から選ぶ企業が多く、審査登録機関がかかえる事情や審査リスクまで考慮していない。自社のリスク評価を行っても、審査機関に対するリスク評価を行わないことは、愚かなことだ。このため、審査を受けた審査登録機関が認証取り消しになってから、慌てることになる。
審査登録機関の抱えるリスクは、ISMSだけではない
審査登録機関の抱えるリスクは、ISMSだけではない。最近個人情報の管理で知られているプライバシーマーク制度や、品質や環境といったISOに対しても同様に審査リスクが存在する。例えば、ISO14000などで知られる環境の審査機関である株式会社日本環境認証機構では、認定機関である財団法人日本適合性認定協会は、今年6月29日付で、認定停止となった期間中に登録をうけた登録証の無効をホームページで公開している。
認定の一時停止期間中の株式会社日本環境認証機構で審査登録された組織の皆様へ
http://www.jab.or.jp/news/qs/topix_2005/qs_20050630_2.html
このような事態にならないよう、審査登録機関を慎重に選ぶ必要がある。
審査登録機関を選ぶポイントは何処か
基本は、トラブルを起こしていない審査登録機関を選ぶこと。そして、信頼を裏切らない独自の倫理ルールを厳密に保っている機関を選ぶことだ。認定機関が定めた基準だけを守っていれば、それは基準の最低ラインを保っているに過ぎない。自ら厳しいルールを定めていれば、顧客にも迷惑をかけることはない。
最近の傾向として、コンサルティングを行っている企業が審査登録機関を兼ねることを禁止する動きがある。自らコンサルティングを行い、一方で審査を行うなんてマッチポンプな商売は許されない、という訳だ。もし、そのような審査登録機関があれば、注意した方がよいだろう。ここで注意したいのは、審査登録機関は表向きコンサルティングをやってはいけないことになっている。しかし、表に出ない形でコンサルティングを行っている可能性があるので、この点に注意しておけば選択を誤ることを防ぐことができる。
ただ、現実には、認証取得という形だけを欲しい企業も少なくない。またある情報セキュリティーのユーザーズグループは、審査の甘い審査機関をマスコミの取材で話している。著者は取材した記者からその事実を確認している。その結果として、審査の甘い審査登録機関には、多くの審査の申し込みが集まる現象が起きている。本当に情報セキュリティーを確保するなら、甘い審査機関ではなく、厳正に審査を行っている審査登録機関を取材で明らかにするのが良いだろう。万が一、審査登録機関が認定取り消しになってから、慌てるのは、一生懸命にISMS活動を行っている事業者になるのだから。経営陣を巻き込む認証取得において、審査登録機関の都合で不必要な出費(移行審査料金)をすることになった場合、ISMSの責任者は当然、その責任を問われるだろう(事実、異動&退職した責任者もいる)。これだって、立派なセキュリティー対策だ。優秀なコンサルタントなら、そこまでアドバイスをしているかもしれないが。
株式会社エヌ・ティ・ティ エムイーの報道資料
「情報セキュリティマネジメントシステム(ISMS)審査登録機関として
JIPDECよりNTT-MEマネジメントシステム審査登録センタが認定を取得」
http://www.ntt-me.co.jp/news/news2003/nws030917.htm
※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。
- 前のエントリー: 不正アクセス技法を解く(SQLインジェクション)
- 次のエントリー: 脆弱性をただ公表すればいいのか?リンクする側も責任を持とう
「ITセキュリティー下学上達」 のバックナンバー
-
事業継続マネジメントシステム認証制度の賢い作り方(2)
事業継続の対象範囲を安易に決めると、、、どうなるか 事業継続をこれから真剣に取り込む予定である企業は、事業継続の対象を適切な手法によって範囲を特定する必要がある。ある会計事務所系列のコンサルタン... -
事業継続マネジメントシステム認証制度の賢い作り方(1)
-
圧縮解凍ツールに脆弱性が発覚、対策はバージョンアップ!
-
米国海軍の侵入検知システムプロジェクトの終焉
-
住民票の写し、500円は、なぜ高いと感じるのか
- ITセキュリティー下学上達 一覧へ »
-
CRMの限界を超える!「顧客経験価値マネジメント」実現の5段階
- 【導入事例集】多業種から評価されているWeb会議システム、24社の導入事例をご紹介
- 【日産自動車:BI導入事例】連結対象の36社からの情報を元に車種別損益管理を実現
- ストレージ問題の課題に対する解決方法
- iPhoneをビジネスで活用する時代へ〜ビジネス&モバイルのミライ〜
- 最上級のブレードがこれだ!導入実績豊富な製品で構成され、仮想化環境に最適化し...
- 【顧客事例】日本製紙グループ様〜グループの「データ分析力」を向上、現場の「見...
- 業界トップシェアを誇るWeb会議システムが選ばれている理由
- 日本モバイルインターネット端末市場分析 〜2008〜2012年のMID及びスマートフォン...
- データベースにおけるデータ管理の最新手法
企画特集
-
グリー、3人のエンジニアが語る仕事への想い
連載第2話、元SIerに聞くリニューアルと開発の舞台裏 -
高まるiSCSIストレージへの注目度
ストレージシステムの4つの課題とiSCSI導入のメリット -
電力に"ふた"をする独自の省エネ機能とは!?
動的に電力割り当ても可能なHPの最新鋭ブレードに迫る -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
容量制限によるメール消去は一切無し!
全てを保存するメールセキュリティSaaSが登場 -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中
Intel Video Series
-
1.並列性のための包括的ソリューション
Intel Parallel Studioが、いかにVisual Studioを拡張し、並列プログラ... -
2.Advisor概要
Intel Parallel Advisorについての2分間の概要紹介で、プログラマが自分...
