日本情報処理開発協会(JIPDEC)は1月15日、「ISMS(情報セキュリティマネジメントシステム)適合性評価制度(以下ISMS)」認証基準の新版「Ver 2.0」の原案を公表した。Ver2.0では、経営トップの情報セキュリティへの関与を明確に規定。さらにISO9001との整合性を見直して、ISO9001を取得済みの企業がISMSを取得しやすいようにした。
経営トップの情報セキュリティへの関与は、現在の認証基準であるVer 1.1では明確に規定されていない。Ver 2.0では「経営陣の責任」という章を設け、経営トップの情報セキュリティへのコミットメントを明確に義務づけた。具体的には、経営トップが情報セキュリティの重要性を組織内に周知させることや、情報セキュリティを守るために必要な経営資源を投入することを定めている。
ISMSはこれまで企業全体として取得できるほか、事業部や事業所などの単位でも取得できた。JIPDECは、「経営陣の責任を義務づけたからといって、全社での取得しか認めないように方針変更したわけではない。これまでと同様、ISMSを取得する範囲は企業側が自由に決められる」と説明する。「情報セキュリティは経営課題そのもの。経営トップが中心となってセキュリティに取り組めるように改訂した」(同)。
Ver 2.0では加えて、情報セキュリティを実現するための運用プロセスにISO9001などで利用している管理モデルを導入。すでにISO9001やISO14001を取得した企業が、ISMSを取得しやすいようにした。
JIPDECは2003年2月14日まで、ISMS Ver2.0に対するパブリック・コメントを募集する予定。2003年4月から正式に運用を始める。ISMSは2002年4月に正式に開始、2003年1月現在で71事業者が取得している。
