B07 情報セキュリティ運営管理規定」の用語に関して質問があります。 (1) 「情報セキュリティ方針」は「情報セキュリティ基本方針」と同じなのでしょうか。 (2) 「情報セキュリティ方針書」は「情報セキュリティ基本方針書…
「事業継続リスクアセスメント評価表」について質問があります。 人災(テロ・犯罪)について、記入例では、設計上の考慮及び対策欄が「防災訓練」になっています。 ソフトウェア受託開発を行う会社の人災(テロ・犯罪)の防災訓練は、…
「リスクマネジメント管理規程」の「分類コード」について質問があります。 USBコネクタ(PCのUSBの口をふさぐ部品)は、分類コードは何になりますか?
「力量認定要件表」の認定要件について、もう少し詳しく教えてください。 ・ISMS管理経験者とは、「情報セキュリティ推進責任者」、「情報セキュリティ管理者」、「情報セキュリティ推進事務局」のいずれかの経験があるということで…
「ISMS-A01 情報セキュリティ基本方針書」の「3 .適用範囲 の【ネットワーク】」の欄ですが、ネットワークも資産の中に含まれると思われますが、別の欄を設けて入力してある理由等ございましたら、お教えいただけませんか。
ISO/IEC27001:2013では、情報資産からではなく、業務プロセスからのリスクアセスメントを行うと聞いています。 購入したテンプレート集では、そのあたりがよくわかりません。 「情報資産台帳」と「リスクグループ分析…
「ISMS-B06 リスクマネジメント管理規程」にての質問です。 3.2資産の評価項目について (1)評価基準、(2)資産の区分と理解できたのですが、 (3)価値の決定で何をもって価値が決定されるのかよくわかりませんでし…
リスク対応計画書に関してですが、これは本来いつ計画しているべきなのでしょうか。 それと、同計画書の「状況」の欄ですが、本年度の計画であれば全て実施予定となるべきなのかと思いますが、その解釈でよろしいのでしょうか? また、…
当社の利用する情報資産の「サービス」に、SSLも入れるべきと考えております。 SSLサービスには有効期限があるわけですが、このサービス利用を維持・管理することは、ISO 27001の管理策のどれに該当すると解釈すればよい…
「ISMSマニュアル 1.2適用(2)適用除外項目」の定義について疑問があります。 ここでいう除外項目とは、弊社で行っている業務すべてのうち、適用範囲の業務以外の業務でしょうか。 それとも適用範囲内の業務の中でも除外する…
