ISMS全般
ISMS全般に関連する質問とその回答です。
お世話になります。 9001のことで少しお聞きしてもよろしいでしょうか。 環境、情報、品質の3規格要求事項の並びが統一されていないためか、統合マニュアルを作成するにあたって苦慮する点があります。 1点教えていただきたい点…
お世話になります。 A15.3で要求されているシステム監査についてお尋ねします。 対応は、システム監査を要求される場合の対応と理解すればよいのでしょうか? 要求する相手は、内部監査や認証機関による監査、また会計監査と考え…
通信・運用管理規程 P2 2.2 変更の管理 下の(2)に「影響範囲、リスク評価を行う。」とありますが、この部分は「運用申請書」のリスク評価表の部分のことを言っているのでしょうか? もし、そうであるならばこの記入例にあり…
資産価値の算出方法がよくわからないので教えてほしいのですが、いくつか方法があるのでしょうか? 機密性、完全性、可用性 を足した物が 資産価値になるのでしょうか?? 正しい算出方法を教えてください。
「教育・研修管理規程」に「3 雇用期間中(A.8.2)」および「3.1 経営陣の責任(A.8.2.1)」の定めが含まれているのはどういう理由からでしょうか。 規定している内容が特に教育に関することではないように思うのと、…
メールサーバーのログについて質問があります。 ログは、会社で保存しなければ不味いのでしょうか? ログを見るだけで、見ていますという形にしたら駄目でしょうか? 理由は以下の通りです。 現在負担軽減を考えて、外部にレンタルと…
一般社員向けの個人情報保護に関する教育は、市販されているテキストで全体を教育すれば、年に1回でも大丈夫ですか? たとえば、JISAなどで販売されているテキストを使用しようと考えています。
社内のデータの管理について質問です。 自社でメールサーバーを設置せず、Gmail等の企業向けのサービスを使う場合、またデータ保存等にレンタルサーバーを使う場合などは、データの管理方法として、何か問題があるでしょうか? 例…
台帳をデータのみで管理する場合は、検印は電子印で良いのでしょうか?
質問ですが、内部からの情報漏洩の疑いがあった場合に、当該社員のPCを不在時にチェックしたり、ログ監視ツールでメールの検閲をする行為は法的に問題あるのでしょうか。 もしくは、その行為をする事を社内マニュアルにうたう必要があ…
