セキュリティ事件・事故の定義とは、JIS Q 27000に基づくと「事象(event)」に含まれる事態や事故を指します。本記事では、eventとincidentの関係性を規格の注記から専門的に解説。ISMS運用における定義の曖昧さを解消し、外国人社員への説明にも役立つ正しい解釈が分かります。
ISMS全般
このサイトは、ISM Web store の公式サポートブログです。
ISMS(ISO27001)の体制構築から運用に関する質問と回答です。
BCP文書とISMS関連文書の紐づけは、ISO27001:2022の管理策「5.30 ICTの備え」等への対応として有効です。事業継続計画と連動したICT-BCPの策定や一体的な運用により、中断時の資産の可用性を確保できます。組織の状況に応じた最適な管理方法を解説します。
プライバシーマーク(Pマーク)の従業員教育は、JIS Q 15001の要求事項を満たせば市販のテキストも使用可能です。年1回以上の実施に加え、法改正や事故発生時など必要に応じた適宜の教育が求められます。自作・市販問わず、教育に含めるべき4つの必須項目や実施のポイントを専門家が解説します。
BYODのセキュリティ対策とは、技術的制限・運用ルール・教育の3層でシャドーITを防ぐことです。端末管理とアクセス制御の使い分けや、個人クラウド利用を防ぐ代替手段の提供など、PマークやISMS準拠に不可欠な具体的ステップを解説。
10名規模で社員が客先常駐する組織でもISMS取得は可能です。実態に合わせた役割分担と、人的管理策に重点を置いた規定づくりが成功の鍵となります。ドキュメント作成の効率化や管理策の除外に関する注意点を専門家が詳しく解説。サンプル文書を活用したスムーズな構築方法をご紹介します。
ISMSとPMSを併用導入する最適解は、ISMSの枠組みに既存のPMS規程を組み込むことです。両規格は管理策の方向性が共通しており、リスクアセスメントや安全管理措置を一元化することで運用を効率化できます。具体的な規程の流用方法や審査への対応ポイントを詳しく解説します。
ISO 27001:2022の新管理策「5.7 脅威インテリジェンス」は、専門チームがなくても自社対応が可能です。IPA等の公開情報を収集し、自社への影響を「脅威一覧表」で分析・整理する手順を解説します。リスクアセスメントへの具体的な活用方法を知り、ISMS更新審査への対策を万全にしましょう。
ISMSの審査で重要となる、訪問不可時の確認証跡の残し方を解説します。証跡のポイントは、双方の合意、客観的な確認、能動的な証跡の3点です。メール返信を活用した具体的な証跡管理の手順を紹介します。適切な運用でリスク管理の不備を防ぎましょう。
ISMSにおける敷地や建物、部屋の情報資産としての定義と一覧表への記載方法を解説します。結論として、これらを資産登録するかは組織の判断ですが、自然災害やテロ等の物理的脅威を具体的に管理する場合に有効です。アセスメントの考え方と具体的な記載例を確認し、物理的セキュリティ対策を効率化しましょう。
ISMSのサーバーやネットワーク機器、持ち出しPCのセキュリティ保護基準を解説。鍵付きラックでの運用や、ローカルにデータを保存しないPCの管理ソフト要否など、リスクアセスメントに基づく具体的な対策基準が分かります。実務に即した情報セキュリティ対策の最適解を確認しましょう。
