ISMSの構成
PDCAサイクルに基づいたプロセスアプローチの採用
「この規格は、“Plan-Do-Check-Act(計画-実行-点検-処置)”(PDCA)モデルを採用し、これをISMSプロセスすべての構築に適用する。ISMSが、利害関係者からの情報セキュリティ要求事項及び期待をインプットとしてどう取り入れ、必要となる活動及びプロセスを経て、その要求事項及び期待を満たした情報セキュリティの成果をどう生み出すかを表している。」(第0 序文より)
リスクマンジメントの体系化
PDCAサイクルにリスクの観点を導入している。「4.2 ISMSの確立及び運営管理」の「4.2.1 ISMSの確立」においては、ISMSの確立の流れに沿った要求事項が記されている。それは、リスクアセスメントの取組方法の策定から、リスクの特定、分析、評価、対応といったものであり、最終的な経営者の承認という形での確立が要求されている。
ISO9001との親和性
ISMSの要求事項には、「経営陣の責任」や「マネジメントレビュー」「内部、外部監査の実施」「是正、予防処置の実施」「実行結果の協議」「目的が達成できるかの確認」「改善の実施」といったような、ISO9001と共通する要求がなされている。
具体的なリスク対策
ISMSの特徴としては、この「付属書A 詳細管理策」が挙げられます。これは、リスクアセスメントの結果を受けて、組織が打つべき具体的な対策の指針が書かれています。これは選択制になっており、対応しない項目は適用除外が許されています。この「詳細管理策」が、より具体的に書かれたものとして「JIS X 5080(情報技術-情報セキュリティマネジメントの実践のための規範)」があります。
ISMS/Pmark お役立ちサイト
ISMS/プライバシーマークの構築および運用において、ちょっと役立つ関連サイトをまとめました。
ISMS/Pmark関連 法規制
ISMS/プライバシーマークに関連するガイドラインおよび法規制をまとめました。
ISMS/プライバシーマーク用語集
ISMS/プライバシーマークに関する用語をまとめました。
ISMS構築パッケージ
自力でのISMS認証の取得を目指す方のためのパッケージ。記入例付きのサンプル文書のほか、社員教育用教材、構築を支援するガイドブックが収録されています。
ご意見・ご要望をお寄せください
ISMS/プライバシーマーク 参考資料に関するご意見・ご感想をお寄せください。皆さんのご意見・ご要望をもとに、逐次、資料をアップしております。
