ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

ISMS全般

ISMS全般に関連する質問とその回答です。

外部顧問契約者に、ISMS適用範囲の事業におけるマネージャー業務を委託しております。 具体的には課の運営管理やOffice365などの外部サービス管理者、社員採用業務、マーケティングなどです。 このような場合の外部顧問契…
インシデント管理体制の情報セキュリティ推進責任者は、経営層や管理層ではなく、一般の正社員、または顧問契約している外部の人間をアサインできますか。
資産の評価についてですが、例えばオフィスパソコンの可用性を評価するといった場合、パソコンは何台もあるのですが、そのうち1台が利用不可能になった場合で評価するのか、それとも全てが利用不可能になった場合で評価するのかが分かり…
外部メールサービス(GmailやOCNメール)のメールデータや、クラウドサービスに保存されているデータ等に関してですが、情報資産としての価値はあるのですが、それ自体は適用範囲内には存在しません。 こういったデータは、台帳…
A.3.3.7 緊急事態への準備について、組織外への報告について社内の解釈が割れています。 社内外より漏えい等の通報・通知を受けた後、どのような場合を基準として個人情報委員会とJIPDEC等の個人情報保護団体へ電話による…
私物デバイスの利用についてのアドバイスお願いします。 現在、社員による私物デバイスによる外部からのアクセス(通話を除く)は下記と規定しています。 ・メールシステムとグループウェアに原則限定した利用とする ・アクセスは許可…
ISMS定期審査で、「是正処置も重要であるが予防処置も実施して事前に対応する様に」という改善の機会を頂きました。 ISMSの記録様式で、是正処置要求・報告書はありますが、予防処置に関連する様式の例はありますか?
クリアデスクに関して、お伺いしたい事がございます。 現在デスク上に紙媒体の情報資産を多く置いており、クリアデスクのルールを考えています。 例えば各自のデスク下にサイドキャビネットを置いており、それに鍵付きの段があるので業…
現在、情報資産の評価は「開示範囲」、「漏えいした場合の経済的影響」、「漏えいした場合の社会的影響」で評価しています。 やはり、評価は機密性、完全性、可用性で実施するべきないのでしょうか?
先日、他社の移行セミナーで講師の方が、「ISO標準テキスト」附属書SLへの対応は、任意と言われておりました。 旧規格の規程に不足している附属書Aの追加項目に対応すればよい?でしょうか? その方が簡単なのですが、不安になり…