ISO/IEC27001（ISMS）とは相互補完的な関係

ISO/IEC27001(ISMS)とPCIDSSの特徴

ISO/IEC27001（ISMS）は、さまざまな業種、規模の組織への適用が前提であり、規格内で具体的なセキュリティ対策レベルの提示をしていません。公的な標準規格の寿命は長く、一定期間通用する内容であることも求められます。その結果、組織が自らの判断で現状のリスク対応を行っていくための、高レベルな仕組みを提示するものになったといえるでしょう。

PCIDSSでは、保護対象が限定的かつ明確にされており、インシデント発生時の被害レベルもまた明確なため、それがセキュリティ対策レベルの明確化につながっています。 ただし、具体的な技術仕様に言及している記述が見られるため、社会情勢や技術的脅威を速やかに反映するために、基準の詳細部分は短期間で見直しが入る可能性もあります。

PCIDSSの要件の詳細部分については、記述が具体的過ぎるために、組織によっては、そのままでは適用が難しい箇所があります。 基準のバージョンがあがるにつれ、「代替コントロール」についての定義や、各要求の注記などでリスクアプローチの概念を 示す記述が補足的に追加されていますが、この点に関して、ISO/IEC27001（ISMS）ではPDCAプロセスのP（Plan 計画）として 重視されている要素でもあります。
ISO/IEC27001（ISMS）では、組織運用の枠組みの記述が規格の本文に示され、詳細管理策は附属書の扱いとなっています。

一方、PCIDSSでは、組織の運用の枠組みを示すポリシーの規定が最後におかれている点に象徴されるように、PCI DSSは具体的な対策をボトムアップで積み重ね、必要に応じて組織的枠組みについて補足するスタイルであるのに対し、ISO/IEC27001(ISMS)は、組織運用の枠組みから詳細化に行くというトップダウン型と言えます。
このことからも両者は互いに相互補完的な 関係にあるとみなせるでしょう。

ISMS認証基準とPCIDSSは共に情報セキュリティに関する基準です。
ISMS認証基準は経営的観点で企業・組織内の情報全般に対する情報セキュリティを、PDCAサイクルを通じ最適化することを目的としています。 但し、リスクマネジメントに基づく対策を要求 していることから、必ずしも具体的な対策を規定したものではありません。
一方、PCIDSSはカード会員情報を保護するためのより 具体的な対策を規定していますが、マネジメントシステムの仕組みについては詳細までは規定していません。従って、両者を 順守／取得することにより、クレジットカード会員情報を継続的に保護することが可能となります。
 

ISMS・PCIDSS共通の認証機関で効率よい審査の受審をお勧めします。