ISMSの情報セキュリティ推進責任者は外部顧問へ委任可能です。定義書や契約書で職務を明確にし、成果物で履行を確認する体制を構築します。ポイントは社内に監視監督責任者を置くことです。審査対策として社内に責任者を置き、実務を外部へ委託する体制も有効です。
ISMS全般
このサイトは、ISM Web store の公式サポートブログです。
ISMS(ISO27001)の体制構築から運用に関する質問と回答です。
情報セキュリティ推進責任者は、役職者以外の一般社員もアサイン可能です。ただし、インシデント対応能力や力量が求められるため、役割を遂行できる人材選定が重要です。外部人材の起用は審査での指摘リスクがあるため推奨されません。管理体制構築のポイントを解説します。
ISMSの資産価値の算出方法は、機密性・完全性・可用性の3要素を個別に3〜5段階でレベル分けするのが一般的です。単なる合算ではなく、要素ごとに評価することで正確なリスクアセスメントが可能になります。JIPDECのガイドに基づいた正しい評価手順を学び、ISMS認証取得に役立てましょう。
来客名簿の記入者は本人である必要はなく、担当者が代筆しても問題ありません。プライバシーマークやISMSの規定では記入主体の指定はないため、顧客への配慮から担当者が記録する運用も有効です。入退出記録の様式を全社で統一する際のポイントを解説します。
ISMSのノートPC持出し管理とは、資産の所在把握と監査証跡の確保を目的とした運用です。長期持出し時の記録頻度は月1回程度でも、上司の許可、所在の常時確認、トレーサビリティの3点が維持されていれば有効です。適切な管理ルールの策定ポイントを解説します。
メールサーバーのログ保存は必ずしも自社で行う必要はありません。ISMSの観点では「ログの取得と一定期間の保持」が重要であり、外部サーバー上でも必要な時に確認・取得できる状態なら要件を満たします。定期的な確認記録を残すなど、管理実態を証跡化する運用のポイントを解説します。
ISMSの資産管理におけるラベリングとは、秘密区分に基づき情報資産を識別することです。手順書等のファイル管理は、社外秘などの格付けに応じたラベルを貼付し、施錠管理等の保護策を講じるのが一般的です。ISO 27001審査で評価される具体的な管理手順と実務のポイントを解説します。
ISMSの資産評価におけるパソコンの可用性評価は、情報の重要度で判断します。汎用PCは一括評価が可能ですが、特定業務に不可欠な端末は個別評価が必要です。機密性も保管データの価値に基づき決定します。適切な情報資産の分類方法と評価基準を専門家が詳しく解説します。
Gmailやクラウド上のデータは、ISMSの「情報資産台帳」への記載が原則必要です。物理的な場所ではなく、組織が管理責任を持つ情報かどうかが判断基準となります。Webサイトのデータも対象です。本記事では、資産のグルーピング方法やリスク管理のポイントを3つのステップで解説します。
レンタルサーバーやGmailを用いたデータ管理は、個人情報保護法における「委託先の監督」に該当します。ISMSやPマーク取得企業は、機密保持契約の締結や監督責任が必須です。外部サービス利用時の適切な管理方法と手順を解説します。
