ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

ISMSの構築ステップ

2009/07/14 (2020/06/04)
ISMS解説資料.  8,254 views


ISMSの確立は、3つのフェーズに分けて考えることができる。

フェーズ1:ISMSの適用範囲及び基本方針を確立する。(STEP1~2)

まず、事業内容および組織の規模、所在地、情報資産などを考慮し、ISMSの適用範囲を決定します。それを受け、組織の事業や法的遵守事項、リスクアセスメントなどから導かれる各事情を考慮し、ISMSを確立、維持していくための環境および体制に関する、全般的な方向性および行動指針を確立します。

フェーズ2:リスクアセスメントに基づいて管理策を選択する。(STEP3~7)

フェーズ1を受け、リスクアセスメントの体系的な取組方法を策定します。まず、リスクの識別では、組織が保護すべき情報資産を洗い出し、それらの機密性、完全性、可用生を喪失させる脅威及び脆弱性を明確にするとともに、事業に及ぼす影響の大きさを識別します。リスクアセスメントでは、リスクの度合いを算定し、そのリスクが受容できるか、対応が必要かを判断します。リスク対応として、管理策を採用するのか、リスクを保有するのか、または回避するのか、移転するのかといった選択を行います。この対応の結果、付属書の「詳細管理策」リストより、適切な管理目的と管理策を選択します。また、必要に応じて追加の管理目的と管理策を採用することになります。

フェーズ3:リスクについて適切に対応する計画を策定する。(STEP8~9)

付属書「詳細管理策」より選択した管理策とその選択理由を適用宣言書として作成します。この際、採用しなかった「詳細管理策」があった場合は、その理由を記載しなければなりません。この適用宣言書と残留リスクを経営陣が承認することにより、ISMSの運用管理することになります。

※JIDEC資料:「ISMS適合性評価制度の概要」より
※リスクアセスメントとは?:組織の情報セキュリティを高めるために、組織に潜む個々の情報資産に対するリスク(脅威が情報資産の脆弱性を突いた場合に起こる可能性)の所在や大きさを明らかにし(リスク分析)、この分析を通して個々の情報資産に関するリスクを測定する一連のプロセスをいう。