ISMS定期審査で求められる予防処置とは、リスク及び機会に対処する活動を指します。ISO 27001では用語が削除されましたが、概念は「組織の状況」等に統合されました。対応する様式例として「ISMS組織状況管理表」を紹介。規格の意図を理解し、適切な文書化を進める方法を解説します。
ISMS全般
このサイトは、ISM Web store の公式サポートブログです。
ISMS(ISO27001)の体制構築から運用に関する質問と回答です。
情報資産の評価は、機密性・完全性・可用性の3要素(CIA)で行うのが基本です。開示範囲や影響度のみの評価はISMS規格との整合性が難しく、審査で指摘を受ける可能性があります。3要素をバランスよく管理する重要性と、評価基準の考え方を詳しく解説します。
情報資産台帳は紙と電子データそれぞれで作成する必要があります。媒体によりウイルス感染や紛失など想定される脅威と対策が異なるためです。スキャンによる電子化の際は、入手元を「社内」、入手方法を「スキャン」と記載する実務的な管理方法も解説します。ISMS運用の疑問を回答します。
ISMSの情報資産台帳に載せる対象物の定義と線引きを解説します。製造装置や検知機など、業務の可用性や完全性に影響する機器は登録対象です。機密性・完全性・可用性(CIA)の3要素から重要度を評価し、火災報知器や消耗品を除外する具体的な判断基準がわかります。
規程書と手順書の違いとは、規程が実施事項を定めた「ルール」であるのに対し、手順書は具体的な「操作手順」を示すものです。手順書は必ずしも作成必須ではなく、組織の規模や業務の複雑さに応じて判断します。ISMS等の認証取得に必要な文書作成の基準や、効率的な管理方法を詳しく解説します。
預託・委託・受託の違いとは、個人情報を「預ける」「業務を頼む」「引き受ける」という立場の違いです。個人情報保護法やPマーク(JIS Q 15001)における各用語の定義と、監督義務などの注意点を専門家が分かりやすく解説します。
情報資産台帳の「入手先」とは、資産が価値を持つようになった時点の取得元を指します。例えば扶養控除申告書の場合、用紙配布時ではなく個人情報が記載され資産化した時点の「本人」が入手先となります。ISMSやPマーク運用における台帳記入の定義と具体例を詳しく解説します。
他社とのオフィス同居は情報セキュリティ上の境界が曖昧になるため、ISMSでは厳格なリスクアセスメントと書面化が必要です。カギやサーバー共有の運用ルール、入退室管理、アクセス権限などを明文化し、不適合を防ぐための具体的な対策を解説します。適切な覚書で審査を乗り切りましょう。
ISMS取得企業が別会社とフロアやITリソースを共有する際は、ISO 27001に基づき物理的・論理的な境界設定が必須です。VLANによるネットワーク分離やアクセス制御、物理的な識別管理等の具体的な対策を解説します。リソース共有時のリスクを低減し、審査に対応する運用のポイントを明確に示します。
ISMS内部監査で経営陣への質問が必要な理由は、箇条5.1のリーダーシップ要求事項にあります。規格に直接の出席規定はありませんが、経営層の関与を証明するエビデンスが不可欠です。本記事では、審査員の指摘意図や、多忙なトップに配慮した現実的な監査手法、記録の残し方を詳しく解説します。
