ISMSの情報資産台帳における分類コードの付け方を解説します。拠点が複数ある場合やクラウドサービス(AWS/Office365等)を利用する場合、保管場所や環境の違いに応じてコードを分けるのが原則です。リスクアセスメントを簡便化し、審査対応を円滑にする資産グルーピングの最適解を紹介します。
ISMSサンプル文書集
このサイトは、ISM Web store の公式サポートブログです。
「ISMSサンプル文書集」に収録されている規程及び様式などに関する質問と回答です。
ISMSのリスク算出方法は、機密性・完全性・可用性の各側面ごとに「資産価値×脅威×脆弱性」で計算します。資産価値を合算せず、各要素の影響を個別に評価することで、最適な情報セキュリティ対策の立案が可能です。具体的な算出例と評価のポイントを解説します。
ISMSの操作手順書作成における「8項目の考慮」とは、JIS Q 27002に基づき情報処理設備の安全な運用を確保するための指針です。必ずしも全項目の手順化が必須ではなく、組織の実態に合わせた規定への改訂や共通手順書の作成が有効な対応策となります。審査時の指摘への具体的な対処法を解説します。
ISMSの管理策「A.5.1.1 情報セキュリティのための方針群」の不適合指摘への対策を解説します。最上位の方針に加え、アクセス制御等の個別方針を策定し、管理者の承認と周知を行うプロセスが不可欠です。審査員の指摘意図を正しく解釈し、規格に適合した運用体制を構築するヒントを紹介します。
ISMSリスク分析で自然災害の脅威ランクを「3」とする根拠は、数式算出の限界による矛盾を防ぐための例外措置です。発生頻度が低くても甚大な被害を及ぼす地震等のリスクを確実に評価し、適切な対策を講じるための工夫を詳しく解説。
ISMSのリスクアセスメントにおいて、受容レベルを超えたリスクも「リスク保有」を選択可能です。費用対効果や可用性の優先、長期的対応などの正当な理由があれば、必ずしも対策を講じる必要はありません。審査員を納得させる理由付けの具体例を解説します。
ISMSのリスクマネジメント管理規程における「特定」と「所定」の違いを解説します。特定は「意図的に指定すること」、所定は「形式的に定まっていること」を指します。資産の評価区分では、限定的な範囲を示す「特定の関係者」という表現が適切です。規程運用の際の用語の使い分けと修正点を確認いただけます。
文書管理規程における「文書」と「記録」の版管理の違いを解説します。未記入の様式は文書として版管理が必要ですが、記入済みの記録に版管理は不要です。様式の修正は規程の更新として扱い、変更履歴で版数を管理します。COM-B01の運用や、管理番号(通番)の適切な識別方法が具体的にわかります。
ISMSの資産管理における「平準化」とは、分担して評価された資産価値のばらつきを調整し、統一する作業です。具体的には、グループ内で最も高い評価値に合わせる等の手法で組織全体のセキュリティ基準を一定に保ちます。効率的な資産洗出しと適切な対策決定に不可欠な手順を詳しく解説します。
ISMS文書の要求レベルC「手順書/フロー」は、組織の業種や形態により内容が異なるため、本テンプレート集ではあえて省略しています。各規程(レベルB)で定められたルールに基づき、既存の社内手順書を活用するか、実務に即した手順を新規作成することで、組織の実態に合ったISMS構築が可能です。
