- 締切済み
ISMS、Pmark、TURSTeの比較
取得された方々のお話をいろいろお聞きしたいです。 3つの認証のなかでなぜISMSにしたのか、なぜTRUSTeにしたのか、積極的な理由があればぜひおしえてください。
- ichiyas
- お礼率0% (0/9)
- インターネットビジネス
- 回答数3
- ありがとう数1
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- techbrain
- ベストアンサー率76% (70/92)
私の所属する会社ではISMSとプライバシーマークの2つを認証取得しています。(SI企業です) 理由としては、TRUSTeについては、NPO法人の提供する民間規格であるのに対して、ISMSは英国規格BS7799やISO17799との関係性があり、単に国際規格への昇格が期待されるだけでなく、1)日本国内規格であるISMSがこれらに対しても先進的な部分を持つ有効な規格であること、2)企業間取引においてISMS取得が取引先選定の基準になる場面が多く出てきていること、などが挙げられます。 (事実、TRUSTeについてはオンラインゲーム会社くらいしか大手の認証取得者はいないように思われます。(気のせい?) すいません、この点についてはキチンと調べていません。ごめんなさい。) 一方、プライバシーマークに関しては、JIS Q 15001というJIS規格によるものですが、ISMSと同じ日本情報処理開発協会による基準提示ということもあり、ISMSと対象の重ならない範囲での個人情報保護に役立つものということで導入が決定されました。 事実、プライバシーマークは原則全社対応であるのに対して、ISMSは事業単位でOKなどの面があり、さらに保護の対象が異なります。 Pmark:組織が取扱う個人情報を特定し、個人情報の保護対策を実施します。 ISMS:組織が保護すべき情報資産を識別し、セキュリティ対策を実施します。 また、管理範囲も異なります。 Pmark:安全管理策を実施するだけでなく、管理する個人情報について情報主体の権利に対応することも含まれる。情報収集の際には事前に利用目的等を伝えた上での本人の同意が必要で、収集後も本人からの修正・削除などの要望に応じる等の必要がある。 ISMS:組織の事業活動全般及びリスク全般を考慮し、事業上の要求事項、法的又は規制要求事項に対するリスクアセスメントによりセキュリティ対策(管理策)を実施する。 プライバシーマークが、企業が具体的に個人情報の保護に関して、業務上の手続き・仕組みを持っていることを示すのに対して、ISMSは企業が情報セキュリティに関して管理手法・リスク分析・セーフガードなどをもっており、「こういう管理を行っていれば大丈夫(な筈)」というものである、と認識しています。 個人情報保護とセキュリティという一部重なっているけど、中身・意味がまるで違うものですから、当然2つ必要だったわけですし、上記のことからもプライバシーマークは個人情報保護の業務が出来る証であるのに対して、ISMSが情報セキュリティに関する企業品質の保証でしかない、という点も重要だと思います。 但し、ISMSは元々ISO17799だけでなく、リスク分析などISO13355の内容も包含しているので、企業としては取得によって、その業務に必要なフローの洗い出しが出来れば十分に元が取れる、という判断もあります。 つまり、相互活用が可能であったこと、今後の取引先選定に対応すること、今までのISO(9000シリーズ、14000シリーズ)認証の際のノウハウが活用できること、2つともSI企業に重要なファクター(情報セキュリティと個人情報保護)であり、かつ完全には重複しないこと、が認証を取得した主な積極的理由でしょう。 どれか1つだけを取得する、ということであれば、自社の業態がB2C(個人顧客相手のビジネス)であればプライバシーマークを、B2B(企業顧客相手のビジネス)であればISMSを取得する、というのが一般的ではないでしょうか?(以下の参考サイトにもその情報は記載されています。) 参考URL) 情報セキュリティマネジメントシステム(ISMS)適合性評価制度 http://www.isms.jipdec.jp/ Q1202.ISMS制度とプライバシーマーク制度との関係を教えて下さい。(同上FAQより) http://www.isms.jipdec.jp/faq/faq1.html#12 プライバシーマーク制度 http://privacymark.jp/ プライバシーマーク制度と ISMS 制度との違いは?(個人サイト) http://www.prisec.org/pm/isms.html
- zem
- ベストアンサー率70% (51/72)
ISMS が ISO 化される予定があるため ISMS を導入するケースがあると思います。ISMS は ISO 9000(品質マネジメント)、ISO14001(環境マネジメント)などのように ISO 規格の1つとなれば、企業価値・評価のアップにつながると思われるからではないでしょうか。 他の2点については申し訳ありません、私は不詳です……。
- hiko-onochan
- ベストアンサー率43% (51/116)
始めまして それぞれの認証の特徴というか性格を見ると どの認証が自分の会社に合っているか判断が つくと思うのですが・・・ ISMSとプライバシーマークについては ダブル取得している企業も多々見受けられます。 ISO9000シリーズやISO14001などと同様に 見直しや監査が必要になり従業員には 負担が増えるだけで維持していけない ことになりかねません。 どこまで従業員が協力できるかというのが 大きいのではないでしょうか?
関連するQ&A
- ISMSの認証について
こんにちは。 ISMSについてのご質問になります。 ISMSの認証についてですが、例えば紙に書かれた個人情報であるとか、 財務情報等を保管している倉庫で認証取得する事は可能でしょうか。 つまり、紙しかないのでPCやネットワークの類は一切無いという事になります。 お分かりの方がいらっしゃいましたら、ご教示ください。 よろしく、お願いいたします。
- ベストアンサー
- ネットワーク
- ISMS審査について
こんにちは。 ISMS認証取得に向けて、内部監査が今週末実施されます。 内部監査後、外部の審査を受けることになると思いますが、外部の審査は内部監査と同様の流れ・チェック項目と考えておいていいのでしょうか? 内部監査では機密レベルの高いものを数点ピックアップして、適切に保管されているかをチェックするようで、社員がそれぞれ使用している机の引出の中のものはチェック項目には入っていませんでしたが、外部の審査においても同じような感じでしょうか…。 机上や机の中を整理整頓、貸与されているPCのセキュリティ設定等、ISMS認証取得に向けて、会社からの指示どおりに準備をしているものの、初めてのことなので、細かくチェックされるとあまり自信がないというのが正直なところです。 実際にISMSの審査を受けた経験のある方からのお話を聞けたらと思っています。 よろしくお願いします。
- 締切済み
- その他(ビジネス・キャリア)
- ISMS審査登録機関の選び方
ISMS取得の場合、認証のみか、コンサルティングも含めてかで、料金・サービス等がかなり変わってくると思いますが、価格以外でどのような基準で登録機関を選んだら良いでしょうか。 (ちなみに、会社は従業員50名以下の規模です。) もし、お分かりの方がいらっしゃいましたら、ご教示いただけるとありがたいです。宜しくお願いいたします。
- 締切済み
- その他(ITシステム運用・管理)
- ISMSの認証費用について
ISMS(情報セキュリティ管理システム)の認証を受けることを検討しています。100名程度の事務所で認証を受ける場合、認証費用はどの程度かかるのでしょうか。コンサルティング費用などを抜いた純粋な費用と一般的な費用が分かるとありがたいです。どうぞよろしくお願いいたします。
- ベストアンサー
- 経営情報システム
- ISMS認証基準附属書A
ISMSの資料で「管理策」などと言われる「ISMS認証基準附属書A」なるものを 探していますが、これはPDFでダウンロードできるのでしょうか?。 ※ネットを探していますがうまくたどり着けず・・ それとも書籍やガイドラインなどで有償で入手するものなのでしょうか?。 アドバイスを頂けると助かります。
- ベストアンサー
- インターネットビジネス
- プライバシーマーク(Pマーク)とISMSの関係
来年より完全施行される、個人情報保護法の対策で質問です。 ISMSを取得している企業にプライバシーマーク(Pマーク)の取得は有効なのかが不明です。 Pマークの取得をした企業が、次にISMSを取得するという流れが一般的だと思うのですが、ISMSを取得していて、Pマークを取得していない場合は、やはり取得しておいたほうが良いのでしょうか? ISMSがPマークの内容をカバーしているのかどうか、教えてください。 薄識で申し訳ございません。
- 締切済み
- コンサルティング
- ISMS取得後に役立つ書籍を探しています
会社でISMSを取得したのですが、取得後の運用がなかなか難しいです。 コンサルに入ってもらっているわけでもないので、自分たちで うまく運用を回していく必要があります。 何か、取得後のアドバイスになるものや運用のノウハウ等が書かれた 参考書籍やHPはないでしょうか。 取得の為の資料はいくらでもあるのですが、取得後に役立つものがなかなか見つからなくて・・・ ご存知の方、よろしくお願い致します。
- ベストアンサー
- 経営情報システム
- ISMS認証上の基準について(パスワード、自動運転関連)
ISMS認証の項目の中に、 1.パスワードの定期的な更新 2.自動運転 に関するものがありますが、認証を得るには以下の点でどの程度の基準があるのでしょうか? Q1.定期的な更新とはどの程度のサイクルか? Q2.自動運転とは、どの程度のことか? …夜間バックアップを自動で行っていれば自動運転とみなすのか? 御存知の方がいらっしゃいましたら、御教授の程宜しくお願いいたします。
- 締切済み
- その他(ビジネス・キャリア)
- プライバシーマーク・ISMS認証取得の範囲
ISMS認証取得の範囲は、特定の部門・部署、支店単位で柔軟に範囲設定できるようですが、プライバシーマークを取得する際は「全社」で進める必要があるとのこと。この「全社」の定義がよくわからないのです。例えば、本社には40名ほどの従業員が居て(社員・パート含む)、派遣や出向などで本社以外の複数の場所で勤務する従業員が100名ほど居るような場合、その派遣出向者が勤務する先も対象となるのでしょうか?
- ベストアンサー
- コンサルティング
- ISO27001研修
ISO27001認証取得に向けて ISMS構築及び内部監査の研修にいきたいのですが、どこがお勧めでしょうか? 受講料は多少バラツキはあるものの似たり寄ったりかなと思っています。
- 締切済み
- その他(ビジネス・キャリア)
