ISMSにおける「ハード資産の完全性」とは、機器が正常に動作し情報の正確さが維持される状態のことです。机やPC等のハード資産は、保管する情報の正確性に影響するため評価対象となります。可用性との違いや具体的な評価基準、パソコンとデータの事例を交えてISMS運用のポイントを解説します。
ISMSサンプル文書集
このサイトは、ISM Web store の公式サポートブログです。
「ISMSサンプル文書集」に収録されている規程及び様式などに関する質問と回答です。
ISMSにおける情報のラベル付けとは、資産の分類に応じた識別を指します。原則としてラベル付けを行わない規定でも、重要資産の分類自体は必須です。ラベリングの定義や、管理策違反を避けるための運用ルールの考え方を解説します。適切な情報保護の指針を確認しましょう。
ISMSマネジメントレビューにおける「継続的改善の機会」とは、社員の要望や社会情勢を踏まえた改善案のことです。「利用可能な技術」と「利用できる技術」の違いや、具体的な記入例を解説します。報告書の書き方を効率化し、実効性の高いISMS運用を実現するヒントをご確認ください。
実印や代表者印の情報資産台帳への登録は、組織の判断により任意です。ISMS(JIS Q 27001/27002)の定義では、印鑑自体を「情報に関連する資産」として管理するか、通常の「事業資産」として厳重に管理するかを選択できます。資産定義の考え方と登録の必要性を解説します。
ISMS認証の適用範囲資料におけるフロア図とネットワーク構成図の作成ポイントを解説。セキュリティレベルの3段階分けは必須ではなく、管理しやすい方法で問題ありません。サーバー構成図は審査員に説明できる詳細度が目安です。規格に沿った効率的な資料作成のコツを確認しましょう。
ISMSのリスク分析において、複数の脅威を一つの対策で解消する場合でも検討過程の記録は重要です。詳細な表記を残すことで、見直し時の経緯把握やISO27001の要求事項への適合が容易になります。実務上のリスクグループ分析対策表の適切な書き方と、運用の注意点を解説します。
ISMS(ISO 27001)における電子商取引(A.10.9.1)とオンライン取引(A.10.9.2)の違いを解説します。オンライン取引は電子商取引に含まれる概念であり、JIPDECのFAQに基づき両管理策で同一の実施内容を記載しても問題ありません。実務に即した定義と文書作成のポイントを確認できます。
ISMSのリスクグループ分析における管理策は、グループごとに異なるのが基本です。グループ分けにより特定される脆弱性が変わるため、各リスクに応じた適切な管理策の選定が求められます。自然災害など脅威の規模により共通化する場合の考え方や、具体的な手順書の作成ポイントを専門家が解説します。
リスクグループ分析対策表とは、情報資産のリスクを抽出・低減するための管理表です。対策によりリスク数は減少しますが、組織状況の変化や新たな脆弱性の発生により「ゼロ」にはなりません。法規制や体制変更に応じた継続的な対策の重要性と、ヒヤリハット分析の活用法を専門家が解説します。
自社開発ソフトのリスク分析は、パッケージ版と区別して管理することが重要です。作成途中のプログラムも含め「自社開発」として分類し、ソースコードへのアクセス制御など特有のリスク対策を講じる必要があります。ISMS認証における適切な資産分類とリスクグループ対策の具体的な表現方法を解説します。
