ISMSとPMSを併用導入するコツは、ISMSという大きな枠組みの中にPMSを包含し、共通プロセスを統合することです。台帳管理、内部監査、教育の3点を一本化すれば運用工数を削減できます。ISMSをベースに個人情報保護規程を個別ルールとして構築する、効率的な統合運用の手順を解説します。
ISMS全般
このサイトは、ISM Web store の公式サポートブログです。
ISMS(ISO27001)の体制構築から運用に関する質問と回答です。
ISMSの管理策A.14.1.1「情報セキュリティ要求事項の分析及び仕様化」とは、システム導入・改善時にセキュリティ仕様を明示するプロセスです。財務パッケージや自社開発ツールでは、リスクアセスメントに基づき性能や認証機能を定義することが重要です。適切な管理策の決定方法を解説します。
ISMSにおけるアクセスログ取得は、全ファイルの監視ではなくリスクに応じた「証跡の確保」が重要です。OS標準機能の活用や重要資産の特定など、会社の規模に合わせた現実的な対策を解説します。万が一の事故時に原因追及ができる体制を整え、無理のない範囲で情報セキュリティを強化するステップを紹介します。
SSLサービスの維持管理はISO 27001の「A.10.8.4 電子的メッセージ通信」に加え、外部サービスとしての側面から「A.6.2.3 第三者との契約」や「A.10.2 第三者が提供するサービスの管理」に該当します。更新漏れを防ぐための情報資産管理と、第三者サービス管理の観点から解説します。
ASP・SaaSの情報セキュリティ対策ガイドラインとは、事業者が実施すべき対策をまとめた実戦的な指針です。ISO27001等の汎用規格ではカバーしにくいASP特有のリスクアセスメントや具体的な対策を解説。PマークやISMSの現地審査対策、信頼性向上に直結する必読資料です。
ISO27001のメール添付ファイル暗号化ルール変更は、リスクアセスメントに基づき規定化すれば審査での指摘を回避可能です。管理策「5.14 情報の転送」の解釈に基づき、顧客の同意や情報の機密性に応じた柔軟な運用を行うための3つの対策を専門家が解説します。
ISMSにおいて普通郵便は禁止されておらず、リスクアセスメントに基づき利用可能です。履歴書返送等の郵送コスト削減には、情報の重要度に応じたルール策定が重要。追跡可否の使い分け基準や、廃棄によるリスク回避策など、実務的な判断ポイントを解説します。
ISO 9001の「品質側面」は、環境側面の対比として「顧客重視」や「製品要求事項の明確化(7.2.1/7.2.2)」に該当します。3規格(品質・環境・情報)の統合マニュアル作成時に混同しやすい計画の構造を、附属書の対比表を基に解説します。
