ISMSのリスクアセスメントにおける「ギャップ分析対策表」と「リスクグループ対策表」の違いと必要性を解説。ベースラインアプローチと詳細リスク分析を組み合わせるメリットや、JIS Q 27001規格対応における審査対策、実務効率化のポイントを紹介します。
ISMSサンプル文書集
このサイトは、ISM Web store の公式サポートブログです。
「ISMSサンプル文書集」に収録されている規程及び様式などに関する質問と回答です。
ISMSにおける重要資産の定義と管理方法を解説。機密性・完全性の評価基準(4以上)が「OR条件」である理由や、持ち出し管理簿との連動、規程内の表記の揺れ(重要情報資産との違い)の修正方針など、実務審査で役立つリスクアセスメントの勘所を紹介します。
ISMSの「暗号による管理策の利用方針」における「否認防止サービス」について解説します。電子署名や認証局を例に、第三者が送受信の証拠を担保することで、インターネット上の取引における「言った・言わない」の紛争を防止する仕組みを分かりやすく説明しています。
適合性管理規程の技術的順守点検とは、情報システムがセキュリティ基準を満たしているか定期確認する手順です。実務では抽象的な準拠確認ではなく、週次・月次の作業報告書に基づき点検を行う運用が推奨されます。審査対応も考慮した、現実的かつ具体的な規定の修正案と運用のポイントを解説します。
ISMS推進事務局と内部監査委員会の兼任は可能です。JIS Q 27001が求める客観性と公平性を担保するため、自らの仕事を監査しない「自己監査の禁止」を徹底することが運用上の鍵となります。相互監査や監査対象の限定により、少人数でも規格に適合した効率的な体制構築を実現するポイントを解説します。
ISMS(JIS Q 27001:2023)の適合性管理規程には、著作権やソフトライセンス管理が必須です。最新規格では知的財産権の遵守が明示されており、個人情報保護のみでは不適合となる恐れがあります。実務を効率化しつつコンプライアンスを強化する規定作成の要点を解説します。
Pマーク(JIS Q 15001)におけるサーバー管理は、必ずしも個室化が必須ではありません。鍵付きラックの有効性や、物理的セキュリティの考え方を解説します。審査対応では規程の暗記は不要であり、資料を確認しながら自社のリスク対策の根拠を説明できることが重要です。
Pマーク(JIS Q 15001)における議事録の様式は、規格上の規定がないためフリーフォーマットで問題ありません。社内規定に従い、PMSの実施に必要と判断した記録を適切に残すことが重要です。審査時の提出要否や、マネジメントレビューへの反映方法など、運用のポイントを解説します。
ISMS等の審査における承認行為は、PC入力の氏名のみでは証跡として不十分と判断されるリスクがあります。承認の正当性を証明するには、自筆署名や捺印、または電子印影の利用が必要です。対面運用の場合は、印刷後に署名するかワークフローのログを残すことで、誰がいつ承認したかを明確にする構成が求められます。
内部監査員の選任基準は外部資格が必須ではなく、組織が定めた「力量」に基づき独自に設定可能です。小規模組織では自社研修での認定も有効です。本記事では、審査で知識不足を指摘されないための3つのポイントや、実務的な教育・認定の手順を解説します。
