ISMSの力量認定要件における「管理経験」とは、情報セキュリティ管理者や推進責任者等としてシステムを運営した経験を指します。「業務経験」は適用範囲内の実務経験を指し、ISMS経験と自業務の習熟度を分けて評価します。中途採用者の適正評価にも役立つ力量認定の基準を詳しく解説します。
ISMSサンプル文書集
このサイトは、ISM Web store の公式サポートブログです。
「ISMSサンプル文書集」に収録されている規程及び様式などに関する質問と回答です。
ISMS-A01情報セキュリティ基本方針書の「ネットワーク」欄が資産と別に設けられている理由は、ISMSの適用範囲(セキュリティ境界)を明確にするためです。建物やオフィスと同様に、管理対象の物理的・論理的な境界を定義する役割があります。ISMS構築における適用範囲の考え方を詳しく解説します。
ISMS-B06リスクマネジメント管理規程における資産価値の決定基準を解説します。重要資産の定義で用いられる数値「4」は、機密性・完全性・可用性の各ランク値を指します。これらはリスク値マトリックスの計算根拠となり、組織の実情に合わせた設定が可能です。各数値の定義とリスク算出への活用方法を確認しましょう。
ISMSのリスク対応計画書を作成する時期は、自社の年間スケジュールで定めた任意のタイミングです。一般的にはリスクアセスメントの見直し後に策定します。「状況」欄は固定せず、実施予定・実施中・完了など進捗を随時更新し、マネジメントレビュー前に最新化することが審査対応において重要です。
SSLサービスの維持管理はISO 27001の「A.10.8.4 電子的メッセージ通信」に加え、外部サービスとしての側面から「A.6.2.3 第三者との契約」や「A.10.2 第三者が提供するサービスの管理」に該当します。更新漏れを防ぐための情報資産管理と、第三者サービス管理の観点から解説します。
ISMSの適用除外項目とは、組織の業務自体を除外することではなく、ISO 27001附属書Aの管理策のうち自社に存在しない活動を適用しないと宣言することです。ソフトウェア開発を行わない場合の例など、除外の定義や正当な理由の必要性を詳しく解説します。
ISMS(ISO27001)運用での適合性管理規程の書き方、役割の兼任、賃貸ビルの空調等の情報資産扱いを解説します。規程の主管組織は管理部署名を記載し、役割の兼任は規格上問題ありません。空調や電源もリスク管理の観点から資産に含めるのが一般的です。実務の疑問に回答します。
ISMSのリスクアセスメント体系における詳細とベースラインの使い分けを解説します。結論、網羅性を確保し審査指摘を避けるには両手法の併用が不可欠です。ベースラインで組織全体の共通ルールを評価し、詳細分析で重要資産の固有リスクを深掘りする、効率的かつ確実な運用方法を回答します。
ISMSのリスクグループ分析における脅威選定の基準は、資産の属性と設置環境に基づき「現実的なリスク」を抽出することです。32種類の脅威から16種に絞る理由は、資産ごとの妥当性を重視するためです。ベースラインアプローチ等の効果的な管理策の選び方と実務効率化のコツを解説します。
ISMSにおける文書と記録の違いとは、改訂の有無と管理状態の差です。情報資産台帳は一般に「記録」として扱われますが、審査員の解釈により「文書」として改訂履歴を求められる場合もあります。本記事では、実務に即した定義の切り分け方と、審査時の適切な対応策を詳しく解説します。
