| ISMSが準拠する「JIS Q 27001:2006」の付属書Aには、情報セキュリティーに関する管理目的と管理策が列挙されています。リスクアセスメントの結果に基づき、リスク保有の決定をしなかった情報資産については、リスクの低減策をこの付属書Aの管理策と関連付けて策定し、一覧表にまとめ、「適用宣言書」とします。 |
| |
| 1.適用宣言書の作成 |
|
ISMSが準拠する「JIS Q 27001:2006」では、「適用宣言書」の定義が、「その組織のISMSに関連して適用する管理目的及び管理策を記述した文書」と規定されています。さらに、その注記では、「管理目的及び管理策は、組織の情報セキュリティーに対する、次のものに基づく」として、以下の4項目が規定されています。
@リスクアセスメント及びリスク対応のプロセスの結果及び結論
A法令又は規制の要求事項
B契約上の義務
C事業上の要求事項
適用宣言書には、情報資産のリスクに対する管理策を漏れなく、付属書Aとの整合性を保ちながら一覧列挙する必要があります。また、管理策を策定しなかった情報資産に関しては、適用しなし理由を明確にしなければなりません。 |
| |
| 2.適用宣言書の承認 |
|
リスク管理策によるリスク低減の効果や、リスク管理策を実施した後に残るリスク(残存リスク)の受容は、事業者の代表者の判断事項となります。情報セキュリティー事故の最終的な責任は、事業者の代表者が負うことになるため、作成された適用宣言書は、代表者の承認を受ける必要があります。
この代表者の承認を受けた適用宣言書が、ISMSに関連して適用する管理目的・管理策を記した正式文書になります。 |
| |
| 3.適用宣言書の管理策の規定・マニュアルへの反映 |
|
適用宣言書に記載した管理策は、実際の業務を行う上での規定やマニュアルの形で具体化されなければなりません。従業者が、これらの規定やマニュアルにしたがって業務を行うことによって、適用宣言書に記載された管理策の実効性が確保されます。
規定・マニュアル類は、管理策の情報セキュリティーへの効果の高さと業務の円滑な運用とのバランスを考慮して策定される必要があります。 |
| |
| 4.リスク対応計画 |
|
リスクアセスメント、それに基づく適用宣言書のリスク管理策にしたがって、管理策の実施計画(リスク対応計画)を策定します。リスク管理策の実施に際しては、経営資源(予算)の確保・責任者の明確化・実施の優先順位の決定等を行う必要があるため、策定したリスク対応計画は、事業者の代表者の承認を得る必要があります。
リスク対策の計画・実施の責任者は、リスク対応計画の実施状況の進捗管理や、計画された管理策と実施された管理策との一致の確認を行います。また、実施したリスク管理策は、その効果の測定を行い、予定したリスク低減効果が得られなかった場合は、追加の管理策を実施する必要があります。 |
| |
|
| 前ページへ |
Top Page