情報セキュリティ格付取得支援サービス 背景

技術情報などの知的財産や、営業機密、個人情報などの機密情報が意図しない形で外部に漏れる、いわゆる情報漏えい事故が増加しています。そこで、経済産業省 産業構造審議会「グローバル情報セキュリティ戦略」（平成19 年5 月）において、企業等の情報セキュリティに対する取り組みが、顧客、取引先、株主など主要なステークホルダーから適切に評価されるために、「情報セキュリティ格付制度」が優先的・重点的課題に盛り込まれました。

情報セキュリティ格付で確かめ合う情報の安全・安心
これを受け、GSX、松下電器（現パナソニック）、富士通、格付投資情報センター等の株主30社が出資し、世界初の情報セキュリティ格付専門会社である株式会社アイ・エス・レーティング（ISR）が設立されました（平成20年5月）。
ISRの情報セキュリティ格付は、企業等が取り扱う技術情報や機密情報について、漏えい、改ざん、サービス停止等の事故が起きないかどうか、その耐性の度合いを評価するもので、AAA を最高とする17 段階の符号で結果を表し格付を行います。

情報セキュリティ格付け審査の全体構造（例）

（出所：株式会社アイ・エス・レーティング講演資料より引用）
※GSXは株主として、株式会社アイ・エス・レーティングの設立主旨に賛同し、情報セキュリティ格付の普及を目指します。

ステップ

• step1 情報セキュリティ格付取得の体制の構築
• step2 格付取得範囲の決定（スコーピング）
• step3 重要情報資産に対するリスク分析
• step4 セキュリティ関連規程の整備
• step5 セキュリティ管理策・対策の実装
• step6 格付審査事前準備
• step7 格付審査支援
• step8 格付維持向上

Q&A

情報セキュリティ格付制度と従来からの情報セキュリティ認証制度（ISO27001）の違いは何ですか？

ISO27001の認証では、PDCAサイクルが継続的に回っているかマネジメントレベルを評価するのに対して、情報セキュリティ格付は、そのセキュリティ水準そのものをマネジメントの成熟度、脅威に対する対策の強度、コンプライアンスへの取り組みといった視点から総合的に評価しランク付けします。

情報セキュリティ格付取得支援サービスを受けると、目標とする情報セキュリティ格付の符号の取得を保証されますか？

情報セキュリティ格付は、中立・公平で信頼できる第三者機関の評価によるものなので、いかなる理由においても、格付符号の取得が保証されるものではありません。

情報セキュリティ格付取得にあたり、情報セキュリティ格付技術検査サービスは、必ず受けなければいけませんか？

情報セキュリティ格付技術検査サービスは必須ではありませんが、情報セキュリティ格付の特色である情報セキュリティ対策の強度評価をより確実にするための有効な手段となります。