| 情報セキュリティーの基本方針を含む上位概念としての「ISMS基本方針」、ISMSが準拠する「JIS Q 27001:2006」が要求する事項に対応する各種規定、適用宣言書で明確にされた情報資産に対する各管理策に対応する規定類、実際の業務の手順・基準を規定した手順書・手引書・マニュアル類を策定します。これらのマネジメントシステムに関する文書類は、ISMSの構築目的・ISMS基本方針から各規定・管理規定、さらに手順書・手引書・マニュアルまで、一貫性を有していることが重要となります。また、これらの文書類は、適用宣言書・リスクアセスメント・リスク管理等との関連性を明確にするため、これら相互に共通する記号・数字等の文書番号によって管理する必要があります。 |
| |
| 1.文書体系の構築 |
|
マネジメントシステムに関する文書類を整備するためには、各文書の上位・下位関係の基準となる文書体系を構築することが必要です。ISMSに関する文書類は、情報セキュリティーの方向性・行動指針から具体的な詳細規定までが、全般的・全体的な文書から順次詳細・個別な文書へ反映されるように、一定の階層構造に基づいて整備します。
文書類は、以下のような体系にしたがって整備します。
例)
@ISMS基本方針
AISMS要求規定
B情報セキュリティー管理規定
C業務手順書・手引書・マニュアル |
| |
| 2.ISMS基本方針・ISMS基本規定(ISMSの要求規定) |
|
最上位階層の文書として、ISMSの目的・情報セキュリティーに関する活動の方向性や原則を定義した「ISMS基本方針」を策定します。また、「JIS
Q 27001:2006」が要求する事項に対応する文書を「ISMS基本方針」の次の階層の規定として策定します。
「ISMS基本方針」は、事業・組織・所在地・資産・技術の特徴の見地から、以下の要素を満たすように定義しなければなりません(「JIS Q 27001:2006」)。
@目的を設定するための枠組みを含め、また、情報セキュリティーに関係する活動の方向性
の全般的認識及び原則を確立する。
A事業上及び法令又は規制の要求事項、並びに契約上のセキュリティー義務を考慮する。
BAのもとでISMSの確立及び維持をする。組織の戦略的なリスクマネジメントの状況と調和
をとる。
Cリスクを評価するに当たっての基軸を確立する。
D経営陣による承認を得る。
「JIS Q 27001:2006」が要求する事項に対応する文書(ISMS基本規定)としては、以下の規定を策定します。
@ISMSの適用範囲に関する規定
Aリスクアセスメントに関する規定
Bリスク対応計画に関する規定
C適用宣言書
DISMSの監視およびレビューに関する規定
EISMSに関する記録の管理に関する規定
FISMSに関する教育・訓練に関する規定
GISMSの内部監査に関する規定
HISMSのマネジメントレビューに関する規定
IISMSの継続的改善(予防処置・是正処置)に関する規定
JISMSの文書管理に関する規定 |
| |
| 3.情報セキュリティーの管理規定 |
|
ISMSの運用に必要な手順、適用宣言書のリスクの組織の全体的な管理策の運用に必要な手順を情報セキュリティー管理規定として策定します。情報セキュリティー管理規定は、情報セキュリティーの要点・重要点を明確に表現するため、選択した管理策や組織の規模を考慮し、必要十分な程度で作成する必要があります。
情報セキュリティー管理に関する文書としては、以下の規定を策定します。
@情報処理設備の管理に関する規定
A情報処理ネットワークシステムの管理に関する規定
B情報処理ネットワークへのアクセス制御に関する規定
C情報処理ネットワークへのアクセス監視に関する規定
D情報記録媒体の管理に関する規定
E施設への入退管理に関する規定
F情報資産の保管管理に関する規定
G情報セキュリティー上の人事管理に関する規定
H業務委託先の管理に関する規定
I法的要求事項の参照および遵守に関する規定
J情報セキュリティー事故の対応に関する規定 |
| |
| 4.手順書・手引書・マニュアル |
|
情報セキュリティー管理規定の基本手順・管理策を各部門・各業務において具体的に実施するための規定として、個別部門・個別管理策・個別業務の実務レベルで使用する手順書・手引書・マニュアル類を策定します。これらの手順書・手引書・マニュアル類は、業務の円滑な運営とセキュリティーレベルとのバランスを考慮して策定する必要があります。また、これらの文書は、平易な文章で図や表などを用いて、各従業者がその内容を理解し、実行しやすいような工夫をして作成します。 |
| |
| 5.文書の管理 |
|
策定された文書は、それを管理する文書(規定)によって保護・管理されます。「ISMSの文書管理に関する規定」には、文書の管理に関する以下の事項が定義される必要があります。
@策定された文書は、発効前に代表者・責任者の承認を受けること
A発効した文書は、その実効性・妥当性を定期的に見直し、必要があれば改定・更新し、
再度発効前に代表者・責任者の承認を受けること
B文書を改定・更新した場合、改定・変更箇所が明確にされていること、また、文書を改定
・更新した場合、文書の最新性が明確に判断できること
C文書を使用する必要がある場合に、確実に最新の文書が使用できる状態になっているこ
と。
D文書は、内容が容易に理解できる方法で作成され、文書を使用する必要がある場合に、
求める文書が容易に検索・識別できる状態になっていること
E文書を使用する必要がある場合には、確実に使用可能な状態になっていること、また、
文書は、確実に受け渡し・保管・廃棄が行われること
F内部文書と外部文書の識別が確実に行われること、また、外部文書も内部文書と同様に
管理されること。
G新規制定文書・改定文書の配付を確実に行うこと
H廃止文書の誤使用を防止し、廃棄すること
I廃止文書を保持する場合は、廃止文書と明確に識別できる措置を講じること |
| |
| 6.記録の管理 |
|
「JIS Q 27001:2006」が管理を要求している文書には、ISMSの運用の過程で作成された記録類も含まれます。記録は、「JIS Q 27001:2006」の要求事項への適合性とISMSの有効な運用の証拠を提供するために、作成し、維持しなければなりません。記録類は、以下の事項を満たす方法で管理する必要があります。
@関連する法令または規制の要求事項および契約上の義務を考慮して保護・管理すること
A読みやすく、容易に識別可能で、検索可能にしておくこと
B識別・保管・保護・検索・保管期間・廃棄のために必要な管理策を文書化(ISMSの文書
管理に関する規定)し、実施すること
記録類の管理は、その対象となる記録の範囲を特定して行われなければなりません。「JIS Q 27001:2006」は、以下の記録類の保持を要求しています。これ以外にも、ISMSを運用する組織の特徴によって、管理の対象とする記録の範囲を特定します。
@ISMSの有効性またはパフォーマンスに影響を及ぼす可能性のある活動・事象
@)教育・訓練の記録
A)内部監査の記録
AISMSのマネジメントレビューの記録
B是正処置の記録
C予防処置の記録 |
| |
|
| 前ページへ |
Top Page