ISO27001/27002における「情報セキュリティ方針群」とは、全体方針とトピック別ルールで構成される文書体系のことです。弊社のサンプル文書では管理効率を重視し、個別規定に内容を包含する統合型を採用。実務的な階層構造や具体的な整備のポイントを詳しく解説します。
ISMSサンプル文書集
このサイトは、ISM Web store の公式サポートブログです。
「ISMSサンプル文書集」に収録されている規程及び様式などに関する質問と回答です。
ISMSの「関係当局」とは、事件発生時に報告が必要な警察や監督官庁等の公的機関を指します。規程で対象先を社内部署とするのは二重管理を防ぐ実務的な工夫です。情報のラベル付けを原則行わない運用も、作業負荷軽減とセキュリティ上の合理性からJIS規格の要求事項に適合可能です。
ファイルサーバの管理規程は、ISMS(ISO 27001)の「情報分類」や「情報セキュリティ運営管理規程」に該当します。フォルダ命名規則等のデータ管理ルールを策定し、既存の規程へ追記する手順を専門家が解説。資産管理の適切な定義方法を確認し、認証取得や運用に役立てましょう。
EvernoteやGoogle等の無料サービスを会社で利用する際のISMS対応を解説。情報資産台帳への登録や管理策に基づくリスク分析の手順を定義しています。規約確認による委託先評価の具体例など、ISMS運用の実務ポイントが分かります。
ISMSの業務フロー作成は、部門単位ではなく「業務プロセス単位」で行うのが原則です。部門ごとに独立した業務がある場合は各部門で作成し、部門を跨ぐ際は共同で作成します。本記事では、資産の洗い出しやリスクアセスメントに直結する業務フローの書き方を専門家が解説します。
ISMS運用開始後の管理策有効性評価において、未実施のマネジメントレビューを確認する方法を解説します。結論として、実施タイミングが合わない項目は次回へ回すか、評価対象から外す対応が適切です。附属書Aの確認手順や代替基準の考え方など、実務に即した解決策を紹介します。
物理的安全管理措置とは、場所を問わず情報資産のリスクに応じた対策を講じることです。レンタルオフィスや自宅の個室も、機密情報を取り扱う場合は対象となります。物理・人的・技術的な観点からテレワーク時のセキュリティ運用が可能かを判断する基準を解説します。
情報資産台帳の保有者とリスク所有者の定義と記載方法を解説します。保有者は資産の管理責任者を指し、部署名や役職での記載が可能です。リスク所有者とはリスク運用に権限を持つ主体であり、情報セキュリティ委員長等が該当します。ISMS運用の実務に即した適切な記入例を確認しましょう。
ISMSの重要資産とは、機密性や完全性の評価値が基準を満たす資産のことです。判定基準の「4以上」という数値は規格上の規定ではなく、組織が任意に設定可能です。本記事では資産価値の決定方法や、重要資産の定義に可用性を含めない理由を専門家が分かりやすく解説します。
ISMSのリスクアセスメントにおける「重要資産」とは、機密性や完全性の評価値が一定基準を超えた資産のことです。重要資産に特定されると、持ち出し禁止制限や物理的保護など、一般資産より厳格なセキュリティ対策ルールが適用されます。資産評価後の具体的な運用手順を詳しく解説します。
