ISMSサンプル文書集
ISMSサンプル文書集に関連する質問とその回答です。
ISMS-B06-1.00-D02脅威一覧表記入例について2つ質問があります。 ①災害の「業務災害」をどう理解すればよろしいでしょうか。具体的にどんな例があるのでしょうか。 ②「人的要因、過失、計画的悪事」に属する脅威の…
情報資産台帳記入例で、「机」の完全性の評価が4です。 ISMS認証取得支援ガイドP24の説明によると、「情報の内容を変更された場合、会社全体に影響がでるもの」という解説ですが、机や棚などハード資産の「情報の内容が変更され…
「情報資産からではなく、業務プロセスからのリスクアセスメントを行う方法」の質問を拝見し、業務フローより情報資産を洗い出すと書いています。 弊社は全社を適用範囲としてISMS構築を進んでいます。3つの部門があり、部門ごとの…
「10 情報の分類」→「10.2 情報のラベル付け及び取扱い」に「ラベリングについては、原則行わない。」と書いていますが、これは「業務上作成&使用のword、excel、pptなど情報資産に分類される書類などのネーミング…
1,弊社全事業所がこのネットワーク図の範囲は社内のみですか。 弊社ではSaas商品を運営しているが、このSaas商品はレンタルサーバー(AWS)を利用しています。AWSみたいな社外のネットワークをネットワーク図に反映する…
ISMSサンプル文書集の「マネジメントレビューインプット報告書」について「継続的改善の機会」の組織において利用可能な「技術」「手順」と、組織が利用できる「技術」「製品」「手順」の具体的な違い・内容がよく判りません。
押印した契約書などの書類は情報資産として登録が必要と思いますが、実印や代表者印そのものは大切なものなので厳重な管理は日常であるため、情報資産ではないと思っています。
適用範囲関連資料のフロア図作成の際、高レベル・中レベル・低レベルとスペースを分けていますが、3つのレベル分けは必要なのでしょうか。 ネットワーク構成図では、大まかなサーバーのみの記載で大丈夫でしょうか。
情報資産の適切な管理を行うためにファイルサーバの管理規程を儲けようと考えています。 具体的にはフォルダの命名規則や格納場所規則などで、ファイルサーバ上の重要資産を適切に管理することが目的です。 これをISMS文書に追記す…
現在弊社はリスク分析対応を行なっています。 そこで、1つのリスクに対して複数の脅威が存在する場合に主となる驚異1−2つに表記を絞り対応表を作成することはリスク分析対応として問題ありませんでしょうか。 複数の脅威があったと…
