ISMS認証, ISMSクラウドセキュリティ認証取得の背景
情報メディア教育研究センター(メディアセンター)では、第二期中期目標・計画において平成27(2015)年度までにISO/IEC 27001:2013(JIS Q 27001:2014)に基づく情報セキュリティマネジメントシステム(ISMS)の認証取得を計画し、準備を開始しました。
しかし昨今のセキュリティ事情を鑑み、全学サービス提供組織として、メディアセンターの情報セキュリティに関する管理運用体制の早急な構築・見直しの必要性から、平成26(2014)年度中にISMS認証を取得するよう計画を変更しました(2015年3月27日登録)。
さらに、平成25(2013)年度から利用を開始した広島大学クラウドサービス利用ガイドライン・チェックリストの有効性評価および平成27(2015)年度に導入した電子計算機システム(HUC12)でのクラウドサービスの積極的利用に伴い、ISO/IEC 27017:2015(JIS Q 27017:2016)に基づくISMSクラウドセキュリティ(ISMS-CLS)認証の取得を目指すことにしました(2017年3月23日登録)。
令和6(2024)年2月に行われた3度目の更新審査において、9年ぶりの改訂となったISO/IEC 27001:2022(JIS Q 27001:2023)に対応しました。
ISMS認証, ISMS-CLS認証取得の取組み
-
-
- 2012/02/27 ISMS講習会
- 2012/03 準備開始(ISMS構築のための調査、関連講習会等への参加
- 2013/03/28 ISMS研修会
- 2013/12/03 ISMS情報交換会
- 2014/07 ISMS認証機関決定
- 2014/08 ISMS構築本格化
- 2014/12 文書レビュー
- 2015/01/15-16 初動審査
- 2015/03/02-04 本審査
- 2015/03/27 判定委員会(ISMS本審査合格)
- 2016/03/01-03 1年次定期サーベイランス審査
- 2016/03/25 判定委員会(ISMS継続審査合格)
- 2016/08/22 ISMS適用範囲の拡大とISMS-CLS認証取得を決断
- 2016/12/22 ISMS事前確認(適用範囲拡大)
- 2017/01/17 ISMS-CLS文書レビュー
- 2017/02/27-03/01 2年次定期サーベイランス審査+ISMS-CLS本審査
- 2017/03/23 判定委員会(ISMS継続審査合格+ISMS-CLS本審査合格)
- 2018/01/22-02/01 文書レビュー
- 2018/02/19-02/22 ISMS/ISMS-CLS更新審査
- 2018/03/23 判定委員会(ISMS/ISMS-CLS更新審査合格)
- 2019/01/11 ISMS/ISMS-CLS事前確認
(文書の大幅な見直し及び適用範囲拡大) - 2019/02/19-02/21 ISMS/ISMS-CLS 1年次定期サーベイランス審査
- 2019/03/15 判定委員会(ISMS/ISMS-CLS継続審査合格)
- 2020/02/18-02/20 ISMS/ISMS-CLS 2年次定期サーベイランス審査
- 2020/03/13 判定委員会(ISMS/ISMS-CLS継続審査合格)
- 2021/02/16-02/19 ISMS/ISMS-CLS更新審査(オンライン審査)
- 2021/03/12 判定委員会(ISMS/ISMS-CLS更新審査合格)
- 2022/02/18-02/20 ISMS/ISMS-CLS 1年次定期サーベイランス審査
- 2022/03/10 判定委員会(ISMS/ISMS-CLS継続審査合格)
- 2023/02/07-02/09 ISMS/ISMS-CLS 2年次定期サーベイランス審査
- 2023/03/09 判定委員会(ISMS/ISMS-CLS継続審査合格)
- 2024/01/05-01/06 文書レビュー
(ISO/IEC 27001:2022(JIS Q 27001:2023)対応) - 2024/02/05-02/09 ISMS/ISMS-CLS更新審査
- 2024/03/08 判定委員会(ISMS/ISMS-CLS更新審査合格)
-
ISMS基本方針
- 情報セキュリティの主要3要素である,機密性・完全性・可用性の確保に努める。
特に、本学構成員に提供している情報サービスの可用性,また,センターで管理している個人情報及び認証情報の機密性をより確実なものとする。 - 広島大学クラウドサービス利用ガイドライン・チェックリストを活用し,クラウドサービスの適切な選択及び利用,普及に努める。
- PDCAサイクルにより,セキュリティレベルの維持及び改善を継続的に行う。
- センター及び財務・総務室情報部職員(以下「職員」という。)は,個人情報保護法等の各種法令及び学内規則を順守し,これを情報セキュリティ活動における行動規範とする。
- 職員は一致協力してISMSを推進し,順次その対象範囲を拡大する。
- 本学及び地域社会・国際社会への情報セキュリティの普及及びレベルの向上の一助となるため,職員はISMS活動に積極的に関与する。
登録範囲
- ISMS(認証登録番号:IC14J0392)
- 情報メディア教育研究センターにおける情報サービスのための利用者/認証情報の管理・運用
- 登録情報(ISMS-ACへ)
- ISMS-CLS(認証登録番号:SC16J0003)
- 次のクラウドサービスのクラウドサービスカスタマとしての利用に係るISMSクラウドセキュリティマネジメントシステム
- Amazon Web Services
- Microsoft Azure,Office 365 Education
- さくらのクラウド
- Google Cloud, Google Workspace for Education
- 登録情報(ISMS-ACへ)
- 次のクラウドサービスのクラウドサービスカスタマとしての利用に係るISMSクラウドセキュリティマネジメントシステム
株式会社日本環境認証機構(JACO)様からのエンドースメント
国立大学法人広島大学(情報メディア教育センター)様では、全学への情報サービスを提供する基幹システムにおいて、クラウドサービスの積極的な活用を推進されておられます。
それに伴う情報セキュリティ強化の一環として、2015年に情報セキュリティマネジメントシステム(ISMS)認証を取得され、今回、更なる強化・改善を図るべく、学術関連では日本で初めて、ISMSクラウドセキュリティ認証も取得されました。
JACOは審査の基本姿勢として、「認証の取得を、ゴールにしない」を掲げておりますが、国立大学法人広島大学様の持続可能な発展のために、今後とも審査を通じて継続的にサポートさせて頂きながら、クラウドセキュリティの更なる改善及び他の大学等への知見の展開を期待いたします。株式会社日本環境認証機構
ISビジネスユニット長 有吉 英也 様