一般社員向けの個人情報保護に関する教育は、市販されているテキストで全体を教育すれば、年に1回でも大丈夫ですか? たとえば、JISAなどで販売されているテキストを使用しようと考えています。
私物デバイスの利用についてのアドバイスお願いします。 現在、社員による私物デバイスによる外部からのアクセス(通話を除く)は下記と規定しています。 ・メールシステムとグループウェアに原則限定した利用とする ・アクセスは許可…
10名程度の小さなソフト会社です。メーカーとの関係上ISOを取得したいと考えています 。 社員は全員客先におり、事務所には社長も週1回、社員は年数回しか集まりません。このような体制でISMSが取得可能でしょうか。また、ド…
弊社はすでにPMSを運用してまして、さらに個人情報以外にも社内のセキュリティシステムを固く守って運用できるようISMSも併用で取ろうしている状況です。 そこで、ISMSをPMSと併用するときのうまい入れ方とかいい方法など…
ISO/IEC 27001:2022 新規追加事項『5.7 脅威インテリジェンス』について質問させてください。 ① 情報セキュリティの脅威についての情報収集をする ② 集めた情報を整理・分析する ③ 利用することができる…
BCP(事業継続計画)とISMSとの関係について、「事業継続のためのICTの備え」が追加されたと聞いたのですが、BCPの文書もISMS関連文書として紐づけしておいた方が良いのでしょうか。
簡便的に対象範囲をとらえると、「事象>インシデント>事件・事故」のように理解をしました。 とは言え、英語に訳すると、「event>incident>Incident and Accident」となるので、「event>i…
A.3.3.7 緊急事態への準備について、組織外への報告について社内の解釈が割れています。 社内外より漏えい等の通報・通知を受けた後、どのような場合を基準として個人情報委員会とJIPDEC等の個人情報保護団体へ電話による…
お世話になります。 A15.3で要求されているシステム監査についてお尋ねします。 対応は、システム監査を要求される場合の対応と理解すればよいのでしょうか? 要求する相手は、内部監査や認証機関による監査、また会計監査と考え…
ISMS認証取得支援パッケージを利用させていただいておりますが、ISMS認証取得ガイドの「4.2グルーピングする」について質問がございます。 グループ化での注意点として 「保管場所による分類で同じ情報形態であっても、保管…
