ISMS全般
ISMS全般に関連する質問とその回答です。
「管理策」の考え方について教えてください。 社内の特定のグループ員だけがアクセスできる、ファイルサーバに保管された情報資産があるとします。 この場合、ファイルサーバに設けられた共有フォルダには適切なグループ毎のアクセス権…
当社の利用する情報資産の「サービス」に、SSLも入れるべきと考えております。 SSLサービスには有効期限があるわけですが、このサービス利用を維持・管理することは、ISO 27001の管理策のどれに該当すると解釈すればよい…
弊社では、ASPサービスを開発・運用しております。 その開発手法や運用方法において個人情報の取扱いやセキュリティの対策が甘かったため、現地審査の際、指摘をうけました。 恐れ入りますが、ASPサービスに関して役立つ資料など…
当社はISO27001を認証取得しているのですが、現在社外向けに送信するメールに添付ファイルを付ける場合、客先に合意を得たうえで、暗号化ソフトを利用して暗号化することをルール付けています。 (添付ファイル情報の機密性が低…
ISMSの情報資産台帳に載せる対象物について質問させてください。 弊社ではガスや薬品を使用する製造業を営んでおりますが、最近の製造装置は、ネットワークにもつながり、制御にPCを使用しています。 また、ガスや薬品漏洩の検知…
文書管理についてご相談させて下さい。 当社はJISQ27001を認証取得しているのですが、認証取得適用範囲に含まれる1か所の営業所が、それ以前にJISQ9100を認証取得しています。 そこに限り一部の書類をJISQ910…
1点質問ですが、規程書と手順書の違いがよくわからないのですが、手順書というのは必ず作らなければならないのでしょうか? 作らなければならいないとしたら、どういったものが対象になるのでしょうか?
当社のISMSルールの中での郵送についてご相談させて下さい。 現在当社のルールにて、「普通郵便」を禁止としており、必ず追跡可能な送付方法を取るようルール付けています。 そこでレターパックやメール便といった方法を主に使用し…
お世話になります。 9001のことで少しお聞きしてもよろしいでしょうか。 環境、情報、品質の3規格要求事項の並びが統一されていないためか、統合マニュアルを作成するにあたって苦慮する点があります。 1点教えていただきたい点…
お世話になります。 A15.3で要求されているシステム監査についてお尋ねします。 対応は、システム監査を要求される場合の対応と理解すればよいのでしょうか? 要求する相手は、内部監査や認証機関による監査、また会計監査と考え…
