ISO/IEC27001とISMSの違い

　現在ISMSに関する正式規格名は「ISO/IEC27001:2005」(現在新規格が制定され、「ISO/IEC27001：2013」になった。/2014年8月29日追記)だ。
…というと、少し言葉足らずかもしれない。他にも一人前の国際規格として認定されてはいないけれど関連するもの、として表に出ているだけでも、ISO/IEC27017まで存在するからだ。(但し一人前の国際規格ではなく、TRという参考文書も含まれている。)
この27002に書かれているのが「ISMS実践の規範」で、管理策などが書かれていて、27001のほうは「ISMSの仕様」、つまり、どういうものが国際標準ISMSなのかが定められている。

ここで、ちょっと待った。
「初めてのISMS」の「国際規格」で私は嘘っぱちを書いてしまって3年も気がつかなかったのだ。
ISMSとは、「情報セキュリティマネジメントシステム」そのもののこと。
まるでISMSが国際規格であるかのように書いていたので、ここで間違いを先にお詫びする。ごめんなさい。
それで、何が違うのかというと、ISMSを全世界で一律同じ基準で統一しようとしたのが国際規格「ISO/IEC27000」シリーズなのだ。
そう、ISMSとは国際規格が標準化を実現しようとしている対象で、その規格の名前が「ISO/IEC 27000」シリーズ。
ISMS＝国際規格じゃあ、ございませんことよ。
ならばこの、「ISO/IEC」とは何だろう？とよくよく調べてみたら、この規格のたどってきた、長い歴史と変遷が、あまりにややこしくて3日間ぐらいは頭がパンクしそうだった。
　それはまた、別のページで述べるとして、まず「ISO」とはなんぞや。
ずばり日本語名を「国際標準化機構」と言う。
(Inrternational Organization for Standardizationの略称で、このまま素直に略すとIOSなんだけどセンターの誰か先生が「ギリシャ語の『平等』(isos)からとったんだよ」と言っていたのでそういことらしい。)
この規格のみならず、いろんな国際規格(余談：あの「天空の城ラピュタ」で出てきた飛行石のモデルになったとかならないとかの蛍石についても、工業用の国際規格がある。)について定める機構で、本部はスイスのジュネーブにあるそうだ。
　そしてその後にスラッシュしてついている「IEC」とはInternational Electronical Commissionの略。
日本語名を「国際電気標準会議」というらしい。
IT用語辞典によると「1947年以降ISOの電気・電子部門を担当している。」
つまり、この「ISO/IEC」を解りやすく例えて言うと、「標準化会社　電気部会」のおすみつきという感じ。
そういえば他にも環境や工場についての規格があるけど、それらには「ISO」はついてても、「/IEC」はついていない。
電気部会さんは関係ないのね、ということになる。

これからは、どこかニュースなどで、「ISO化」と聞いたなら、ああ、何かが国際標準化したんだな、と思うことにしよう。

2018年12月5日　追記
実はこのIECとISOはまったくの独立した別の組織で、IECは電気電子関係、ISOはその他の規格標準化を担当している。 ISMSの規格は、この二つが合同で委員会を開いて作り上げたもので、これをJTC 1/SC 27（Joint Technical Committeeの略）という。 設立年からするとむしろIECのほうが古いぐらいで、1908年（資料によってはまちまちで1906年とする資料もある）に設立、ISOのほうは1947年に正式発足。このISOの前身となるISA（万国規格統一協会）は機械工学の分野で標準化を進めるもので、 これがねじとかいろいろ、輸出入のときに困らないようにものを作る際の基準を整備したところ。
ちなみにIEC設立のためにイギリスで開かれた会議には日本人も出席していて、当時北アメリカ・ヨーロッパ以外から出席したのは日本だけだったそう。1908年といえば日本は明治39年で、海外旅行といえばまだ船だった時代。 参加したのは日本のエジソンといわれた藤岡市助さん。山口県岩国市の出身で、日本で初めて電球を開発した人らしい。