10名程度の小さなソフト会社です。メーカーとの関係上ISOを取得したいと考えています 。 社員は全員客先におり、事務所には社長も週1回、社員は年数回しか集まりません。このような体制でISMSが取得可能でしょうか。また、ド…
弊社はすでにPMSを運用してまして、さらに個人情報以外にも社内のセキュリティシステムを固く守って運用できるようISMSも併用で取ろうしている状況です。 そこで、ISMSをPMSと併用するときのうまい入れ方とかいい方法など…
ISO/IEC 27001:2022 新規追加事項『5.7 脅威インテリジェンス』について質問させてください。 ① 情報セキュリティの脅威についての情報収集をする ② 集めた情報を整理・分析する ③ 利用することができる…
BCP(事業継続計画)とISMSとの関係について、「事業継続のためのICTの備え」が追加されたと聞いたのですが、BCPの文書もISMS関連文書として紐づけしておいた方が良いのでしょうか。
簡便的に対象範囲をとらえると、「事象>インシデント>事件・事故」のように理解をしました。 とは言え、英語に訳すると、「event>incident>Incident and Accident」となるので、「event>i…
A.3.3.7 緊急事態への準備について、組織外への報告について社内の解釈が割れています。 社内外より漏えい等の通報・通知を受けた後、どのような場合を基準として個人情報委員会とJIPDEC等の個人情報保護団体へ電話による…
お世話になります。 A15.3で要求されているシステム監査についてお尋ねします。 対応は、システム監査を要求される場合の対応と理解すればよいのでしょうか? 要求する相手は、内部監査や認証機関による監査、また会計監査と考え…
ISMS認証取得支援パッケージを利用させていただいておりますが、ISMS認証取得ガイドの「4.2グルーピングする」について質問がございます。 グループ化での注意点として 「保管場所による分類で同じ情報形態であっても、保管…
購入させて頂いた「ISMS認証取得支援パッケージ」にてISMS取得準備を行っていますが、取得支援ガイドP.41の内容について確認させて頂きたい事があります。 P.41にてISMS-B06-1.00-D01情報資産台帳に3…
社として利用を認可したコミュニケーションツールでSlackやSkypeなど有料無用にかかわらず、委託先管理の一環として、管理者名・利用者数の把握とともにホームページで規約やプライバシーポリシーの定期印刷により審査管理して…
