リスクアセスメント体系
※上図は、リスクアセスメント体系の1つのモデルを示したものであります。
基本管理策
既に組織内にある情報セキュリティ管理策(規定化されたもの等)とISMS規格の付属書である133項目の管理策を対比させ、実施の有無および該当の有無のギャップを分析する。その結果、一部実施されている項目および実施されていない項目に関して、どのような対策を講ずるかを検討する(対策を「ギャップ分析対策表」へ記載)。これを基本管理規程とする。
追加管理策
基本管理策とは別に、組織内にある全ての情報資産を洗い出し、各々の情報資産における「C:confidentiality(機密性)」と「I:integrity(完全性)」、「A:availability(可用性)」に関する調査と評価を行い、組織の情報資産を確定する(情報資産管理台帳の作成)。情報資産は、さらに保存形態や保存場所、資産の特徴などによりリスクのグループ化、リスク評価を行う。グループ別のリスク評価後、脆弱性が受容レベル以上の情報資産のみ対策を検討し、更に先の基本管理策で立てた対策で十分かを考慮し、再度対策を講じる。
管理策の決定(適用宣言書)
講じられた対策の中で、最適化するもの、回避するもの、アウトソーシングなど移転するもの、とりあえず保存するものといったリスク対応を明確にする。この結果に対して経営者が承認することにより、組織としての情報資産への管理策が決定される(適用宣言書の作成)。決定された管理策は、ルール化するために各規程として明文化されることになる。
ISMS/Pmark お役立ちサイト
ISMS/プライバシーマークの構築および運用において、ちょっと役立つ関連サイトをまとめました。
ISMS/Pmark関連 法規制
ISMS/プライバシーマークに関連するガイドラインおよび法規制をまとめました。
ISMS/プライバシーマーク用語集
ISMS/プライバシーマークに関する用語をまとめました。
ISMS構築パッケージ
自力でのISMS認証の取得を目指す方のためのパッケージ。記入例付きのサンプル文書のほか、社員教育用教材、構築を支援するガイドブックが収録されています。
ご意見・ご要望をお寄せください
ISMS/プライバシーマーク 参考資料に関するご意見・ご感想をお寄せください。皆さんのご意見・ご要望をもとに、逐次、資料をアップしております。
