CSMS認証取得支援サービスとは

CSMS認証の概要

CSMSとは

CSMS(Cyber Security Management System,サイバーセキュリティマネジメントシステム)とは、IEC 62443-2-1の規格番号で示される国際標準です。このCSMSには、IACS(Industrial Automation and Control System,産業用オートメーション及び制御システム)に対するセキュリティマネジメントの要求事項が規定されています。

日本が世界初としてスタートしたCSMS認証

CSMS認証とは、このCSMS(IEC 62443-2-1)に基づいた第三者認証制度です。情報セキュリティマネジメントのスタンダードであるISMS(ISO/IEC 27001)適合性評価制度を運営するJIPDEC(一般財団法人日本情報経済社会推進協会) により、CSMS適合性評価制度として2014年にスタートしました。これは、経済産業省が国際的に通用する認証基盤の確立のために実施した、「グローバル認証基盤整備事業」の一環となる世界初の取り組みです。

注)2018年4月 ISMS-AC(一般社団法人情報マネジメントシステム認定センター)としてJIPDECから独立

CSMS認証の対象者

CSMS認証は、IACSのライフサイクルに関わる、次の3つの事業者が対象となっています。これら事業者が三位一体となって、IACSのセキュリティを守ることが望まれるのです。

  • ● IACSを所有する事業者(アセットオーナー)
  • ● IACSを開発・構築する事業者(エンジニアリング会社、システムインテグレータ等)
  • ● IACSを運用・保守する事業者(エンジニアリング会社、サービスプロバイダー等)

特に今注目なのは

これら3つの事業者の中で、遠隔の自社センター施設から、顧客の工場・プラントに対してリモートサービスを提供する事業者の方々が、CSMS認証に注目しています。自社のリモートセンターを対象にCSMS認証を取得することで、セキュリティマネジメントの仕組みを強化し、顧客へ提供するリモートサービスの安全性を高めるためです。

認証取得の進め方

プロジェクトの立ち上げ
CSMS構築にあたってのプロジェクト体制を確立します
適用範囲の決定
組織において、CSMSを適用させる範囲を明確に定義します
セキュリティポリシーの策定
CSMSの「基本方針」や「管理の枠組み」となる事項をまとめます
リスクアセスメントの実施
2段階のレベルにおいて、リスクの特定や分析、評価を行います
詳細管理策の検討
必要となる管理策を認証基準から選択し、導入します
ドキュメントの作成
実際に運用することが可能なドキュメント類に落とし込みます
教育・訓練の実施
文書化した各種の運用規定を、従業員・関係者へ周知徹底します
内部監査
運用の実施状況を、組織内部でチェックします
マネジメントレビュー
経営層の参加によるレビュー会議を実施します
外部審査
CSMS認証機関の審査員による外部審査を受けます

準備作業

CSMS認証を取得するには、まず社内のプロジェクト体制を整え、準備作業を進めます。基本方針、管理の枠組み、対策の基準などを社内規程としてまとめます。そして、それを組織内へ浸透させるための教育訓練を実施します。セキュリティマネジメントの運用が軌道に乗れば、規定どおりに実践できているか内部監査でチェックします。
ここでプロジェクトの成功ポイントとなるのが、セキュリティに関する専門技術や、ISO等マネジメントシステムの経験ノウハウを持つ要員の参画です。もし自社内での要員確保が難しければ、外部から専門のコンサルティングを受けることが効果的です。

登録審査

内部監査と経営層へのマネジメントレビューが終わり、PDCAサイクルが一巡したら、いよいよ認証機関から登録のための審査を受けます。登録審査は、第1段階審査と第2段階審査の計2回に渡ります。そして、それぞれの審査でCSMSへの適合性や有効性に問題がなければ、登録証が発行されます。

JTEのコンサルティングサービス

CSMS認証取得支援サービス

JTEでは、CSMS認証制度のスタートに合わせて、CSMS認証取得を目指すお客様を支援する、コンサルティングサービスの提供を始めました。IACSのセキュリティ技術と、組織のマネジメントシステム構築に知見を有するコンサルタントが、お客様のCSMS認証取得に必要となる各種作業をフルサポートするサービスです。
ぜひ認証を取りたいが一体どのように取り組めばいいのか、不安を抱えるお客様の課題を解決します。ISO等マネジメントシステム構築の経験がなくても大丈夫です。当社が認証登録までの道のりを、しっかりと支えます。

サービスの特徴

サービスの特徴としては、完全定額制で成功報酬型のコンサルティングメニューで実施している点です。お客様の都合でスケジュールに遅れ(サービス期間の延長)が生じても、追加料金は一切発生しません。また、当社の支援サポートに落ち度があり、万が一認証が取れないことになれば、報酬をいただかないスタンスで実施しています。
JTEでは、プロジェクトの立ち上げから認証登録までのスケジュールを、標準的に約10ヶ月間で想定しています。但し、いち早くビジネスの競争優位を築きたいお客様には、約6ヶ月でのスピード取得も対応可能です。

ページトップへ