| 構築し、運用を開始した情報セキュリティーマネジメントシステムは、ISMSの認証取得によって、情報資産管理のための有効性・妥当性を証明されたことになります。しかし、情報セキュリティーマネジメントシステムは、ISMSの認証取得が完了した後も継続的に運用され、その実施・維持・改善が行われる必要があります。これらISMSの実施・維持・改善を着実に行い、その記録を証拠資料として残しておくことが、3年後のISMSの認証更新や1年毎の定期維持更新(サーベイランス)を受ける際の必要不可欠な条件になるとともに、これらの実施・維持・改善の活動によって、情報資産の適正な管理が実現されていきます。 |
| |
| 1.ISMS体制の維持 |
|
情報セキュリティー管理責任者・情報システム管理責任者・情報セキュリティー管理担当者・情報セキュリティー監査責任者・情報セキュリティー教育責任者等のISMSに係わる各管理者・責任者が、人事異動・組織変更等によって欠員とならないために、常に一定の人員を確保し、情報セキュリティーマネジメントシステムの運用体制の維持を図ります。 |
| |
| 2.従業者に対する継続的な教育の実施 |
|
従業者に対する教育は、教育計画に基づいて、毎事業年度において定期的に、全従業者に漏れなく行われる必要があります。情報セキュリティー教育責任者は、教育の計画・実施・結果・効果に関する記録を行い、それらの記録類を管理します。 |
| |
| 3.情報資産の特定の維持・管理 |
|
ある時点で組織が保有するとして特定した情報資産も、新規事業の開始や事業内容の変更によって追加・変更・削除されていきます。
情報を特定することは、有効なリスクアセスメントを行う上での前提となるため、常に最新の状況を把握することが必要です。 |
| |
| 4.リスクアセスメントのレビュー |
|
ISMS構築時に実施したリスクアセスメントも、組織・技術・事業の目的やプロセス・特定した脅威・導入した管理策の有効性・その他の外部事情(法令・規制の状況等)の変化によって、その残留リスクやリスク受容可能レベルが変化していきます。。リスクアセスメントは、情報資産を保護・管理する上で、極めて重要な意味を持つため、定期的・適時に見直しを行い、選択・実施した管理策が情報セキュリティー要求事項を満たしているか検証する必要があります。
また、リスクアセスメントの方法そのものについても、情報セキュリティー要求事項や法令・規制等の要求事項の変更に伴い、同様に見直しを行わなければなりません。
情報セキュリティー管理責任者は、リスクアセスメントやその結果として特定したリスク対応のための管理策についての実施履歴を記録し、保存・管理します。 |
| |
| 5.文書・記録類の維持・管理 |
|
ISMSの監視やレビュー・ISMSの内部監査・マネジメントレビューによって、ISMSの管理目的・管理策・プロセス・手順と「JIS Q 27001:2006」の要求事項との不適合やセキュリティー管理策の不備が指摘された場合、当該管理目的・管理策・プロセス・手順は適切に改定される必要があります。また、ISMSの運用に伴い作成された記録類は、ISMSの改善・マネジメントレビュー等の検討資料となるとともに、ISMSの認証更新の際には、ISMSを適切に運用してきたことのエビデンス(証拠)となります。したがって、これらの記録類は、その根拠となるISMSの管理目的・管理策・プロセス・手順の改定と同期し、確実に作成・保存・管理されることが重要です。 |
| |
|
| 前ページへ |
Top Page