| 情報セキュリティーマネジメントシステムの運用、運用の監視、内部監査、リスクアセスメントのレビュー・マネジメントレビューを確実に行っていれば、ISMSの認証更新申請に必要な記録類・資料等の書類はすべて完備されています。また、情報セキュリティーマネジメントシステムに関する記録類・資料類は、1年毎の定期維持更新(サーベイランス)でも審査されます。しかし、ISMSの認証期間は3年間に渡るため、その間の事業の追加や変更・人事異動や組織変更・コンピュータネットワークシステムの再構築・社会環境等の変化によって、情報セキュリティーマネジメントシステムの完璧な実施を図っていたとしても、それが要求事項を十分に満たしていない事態が起こり得ます。情報資産の保護・管理という本来の目的から外れて、ISMS認証更新の前に慌てて帳尻を合わせるという意味ではなく、認証更新の申請を良い契機として再度、不適合事項・不具合・不備・不足がないか確認し、それらが判明した場合、速やかに是正処置・改善を行うという意味で、認証更新の申請の事前準備を行うことの価値があります。
以下の事前準備は、時間的な余裕を持って、ISMS認証更新申請の2ヶ月前には開始します。 |
| |
| 1.リスクアセスメントのレビュー |
|
新規事業の開始や事業内容の変更によって、ISMSの認証期間中に取り扱う個人情報が大きく変動した場合、その特定に漏れが生じる恐れがあります。また、追加・変更が生じなかった情報資産についても、組織、技術、事業目的・プロセス等の変化によって、そのリスクアセスメントをレビューする必要があります。
情報資産の把握やリスクアセスメントは、情報セキュリティーマネジメントシステムの重要な要素となるため、これらの見直しは、適時・定期的に行われるべきですが、ISMSの認証更新審査前に再度検証し、実施されていない事項がある場合、早急に対応を行います。 |
| |
| 2.情報セキュリティー管理策のレビュー |
|
リスク評価に基づいて選択・実施されたセキュリティー管理策は、セキュリティー技術の向上・脅威の変化等によって、その有効性が低下する恐れがあります。現状のセキュリティ管理策が想定したリスク低減効果を有しているか否かの判定は、リスマネジメントのレビューと同様に、適時・定期的に行わなければなりません。
情報セキュリティー管理策は、実際に情報資産を保護・管理する上での実効性が問われるため、ISMSの認証更新審査前に再度検証し、問題点や不備等がある場合は、是正・改善を行う必要があります。 |
| |
| 3.ISMSの運用体制 |
|
人事異動や組織変更によって、情報セキュリティーマネジメントシステムの運営体制を構成する管理者・責任者が転任・転勤する場合があります。情報セキュリティー管理責任者や監査責任者はもちろん、各部門の担当者に至るまで、欠員が生じていないか、事前に確認するする必要があります。また、管理者・責任者がすべて設置されている場合でも、転任・転勤時の情報セキュリティーマネジメントシステムに関する業務の引継ぎの状況やその業務の実態を確認し、現状が名目だけの管理者・責任者になっていないかを検証しておきます。 |
| |
| 4.ISMSの教育・訓練 |
|
情報セキュリティーは、事業者のすべての従業者が受講しなければなりません。人事異動や組織変更・定期研修の欠席等の理由によって、情報セキュリティー教育を受講していない従業者がいないかを確認し、未受講者がいる場合は、速やかに研修を実施します。また、受講済みの従業者でも、教育の効果が不十分だった者への再研修の実施状況を調査し、該当者がいる場合は、速やかに再研修を実施します。 |
| |
| 5.ISMSの内部監査 |
|
情報セキュリティーマネジメントシステムについての内部監査は、ISMSの適用範囲のすべての部門に対して実施されなければなりません。適用範囲内での新たな事業の開始や組織変更等の原因によって、監査を受けていない部門がないかを調査し、該当する部門がある場合は、速やかに監査を実施します。また、監査結果の代表者への報告や指摘事項に対する改善計画・改善計画に基づく改善の実施・改善の実施状況に対するレビュー等、行われた監査の一連の流れを検証し、実施されていない事項がある場合は、速やかに必要な処理を行っておきます。 |
| |
| 6.是正処置・予防処置 |
|
ISMSの監視の結果・内部監査結果・情報セキュリティーに関する事故(漏洩・毀損・滅失等)の発生等によって判明した不適合事項・問題点については、早急に是正処理・予防処置を講じなければなりません。これらの不適合事項・問題点に対する是正処理・予防処置が適切に行われたかを調査し、実施されていない事項がある場合は、速やかに必要な処置を講じておきます。 |
| |
| 7.マネジメントレビュー |
|
組織の経営陣は少なくとも毎事業年度に1度、情報セキュリティーマネジメントシステムの適切性・妥当性・有効性に関する全体的な見直しを行わなければなりません。ISMSの監視の結果・内部監査の結果・利害関係者の意見・セキュリティ技術の向上等に対応し、必要な見直しが行われたかどうかを検証し、見直しを実施すべき事項がある場合は、速やかその対策を実行します。 |
| |
| 8.文書管理 |
|
情報セキュリティーマネジメントシステムに関する文書(ISMS基本方針・適用宣言書・内部規定・記録類等)は、すべて適切に管理されなければなりません。ISMS基本方針・適用宣言書・各内部規定は、改定されるごとにその履歴を記録し、また教育や監査の実施記録・報告書、各規定に基づく記録類は、代表者・権限者の承認を受けた上で、保管・管理される必要があります。これらの文書に不備や欠落がある場合は、速やかにその補完を行っておきます。 |
| |
| 9.代表者・管理者・責任者間の調整 |
|
情報セキュリティーマネジメントシステムの運用体制に係わる者は、代表者・経営陣の指揮の下に一致協力して、その業務を遂行していきますが、時間の経過とともに、それぞれの認識・知識・理解に相違が生じてくる場合があります。ISMS認証更新の現地審査では、代表者へのインタビューと共に、情報セキュリティー管理責任者・情報セキュリティー担当者、さらには各従業者への質疑も行われます。代表者・管理者・責任者が、それぞれ異なる回答をすることがないように、あらかじめ相互の認識・知識・理解を統一しておく必要があります。 |
| |
|
| 前ページへ |
Top Page