公開:

ISMS認証制度はSCS評価制度の上位概念?

結論としては、ISMSをとても厳しく構築し、運用できていれば自ずとSCS評価制度の要求の大半を満たしているはずなので、ISMSの方が上位概念であると言えなくもありません。

ただし、実態として「全てのISMS認証取得組織がSCS評価制度の要求を満たしているか」と言えば、大半の組織が満たせていないと推測されます。ISMSの要求事項は、SCS評価制度における要求の大半を包含しているのですが、広範囲の組織が適用することができるよう要求事項が緩やかに表現されています。

分かり易い論点では、パスワードの管理に関する要求事項を例に挙げると、ISMSでは「割当て及び管理は、適切な取扱いについて要員に助言することを含む管理プロセスによって管理しなければならない。」程度の表現となっており、文字数などについては具体的に触れていません。したがって、同じISMS認証を取得している組織でも、パスワードが6文字の組織もあれば、英字大文字小文字・数字・記号混20文字以上の組織もあり得るということです。

それに対し、SCS評価制度では、文字数の指定、多要素認証の利用といったように具体的に要求が定められています。そのため、ISMS認証は取得していてもSCS評価制度の要求を満たしきれていないという組織が生じることになります。

したがいまして、一概にISMS認証制度はSCS評価制度の上位概念とは言い切れません。

ISMSとSCSの関係

CSC評価制度の詳細は、「SCS評価制度への対応」をご覧ください。

一覧へ

まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください

受付時間:平日 9:00~18:00