2021年3月16日
ISMS(ISO27001)は取得したら終わり、ではなく「やること」が決められており、定められている10項の要求事項に沿って実施・運用していく必要があります。本記事では、ISMS(ISO27001)の定期運用でやることを紹介します。
1.ISMS(ISO27001)の運用でやること
ISMS(ISO27001)の運用は以下の要求事項10項に沿って構築したルールの中から、4項以降を運用していきます。
1項 適用範囲
2項 引用規格
3項 用語及び定義
4項 組織の状況
5項 リーダーシップ(方針の策定、組織体制の整備等)
6項 計画(リスク・機会、目的目標の管理)
7項 支援(設備資源、力量、コミュニケーション、文書・記録管理)
8項 運用(情報セキュリティアセスメントとリスク対応)
9項 パフォーマンス評価(内部監査、マネジメントレビュー等)
10項 改善(是正処置対応、継続的改善)
実質、ISMS(ISO27001)独自の運用として必要なのは、
・組織の状況を理解すること
・情報セキュリティリスクアセスメント
・リスク対応計画
・目的目標を管理すること
・教育
・内部監査
・マネジメントレビュー
・是正処置とインシデント
合計9つの運用をする必要があります。
(また、要求事項附属書Aで定められている事業継続についての訓練実施もISO運用のために必要になります。)
上記9つについては次項より順に説明します。
2.組織の状況を理解すること
マネジメントシステムを運用するには、どんな規格であれ目標達成を目指して活動していきます。
その目標達成のためにはまず自社の状況を把握することが必要です。
要するに、自社のヒト・モノ・カネその他の課題やリスク、顧客等外部から求められているものなど、
まずは自分たちの組織について理解することが重要です。
3.情報セキュリティリスクアセスメント
組織で関わる情報資産は何か?潜在するリスクは何か?もしそれは起こった場合の影響は?など、
業務やプロセスごとに1つずつ洗い出し、それぞれに対策を取っておかなければなりません。
また、守らなければならない情報は何か?あるいはリスクは低いが注視しなければならないものは何か?などを決めていきます。
会社は大なり小なり変化しているはずなので、変化に気づいてリスクや守るべき情報を見逃さないためにも毎年の見直しが必要です。
4.リスク対応計画
情報セキュリティリスクアセスメントで洗い出された特に守らなければならない情報や注視しなければならないものについてはリスク対応計画を策定し、別途管理していきます。
5.目的目標を管理すること
こちらも洗い出された情報セキュリティリスクアセスメントあるいは他の情報から、運用のゴールとして設定する目標を決めて、スケジュールごとなどで達成までの活動を追って管理できるようにします。
6.教育
ISO27001では毎年の教育が必須という要求事項が明確にあるわけではありません。
事務局や担当者だけがマネジメントシステムを運用できるものではなく、組織全体で運用するためにはまずは自社のルールを理解することから始まります。
どんな情報を守らなければならないか・それはなぜか・守らなかった場合どうなるかなどを知ることが重要です。
定期的な教育の実施などで自社のルールを理解することやISMS(ISO27001)がどういう活動なのかを教育内容に取り入れていきましょう。
ISMS(ISO27001)の教育について詳しく知りたい方は、こちらの記事で詳しく説明しております。
7.事業継続計画
事業継続計画とは緊急事態が発生しても事業を継続・復旧できるようにあらかじめ備えておくことです。
ISMS(ISO27001)では要求事項本体ではなく附属書に記されており、詳細な項目はありませんが、
実際に起こった場合を想定して誰が・いつ・どこで・どうやって・何をするかを決めて手順にしておくことが重要です。
毎年、手順が有効かを確認するために実際に訓練としてやってみて手順を見直していきます。
8.内部監査
内部監査は、ISMS(ISO27001)だけでなくISO規格で重要な仕組みの1つです。
内部監査を実施し、ルール通りに運用ができているか、漏れている運用はないか、もっと改善すべきことはないかを自社でチェックします。
9.マネジメントレビュー
一通りの活動結果を組織のトップへインプットし、次の運用に向けた方向性を確認し、アウトプットをもらいます。
10.是正処置とインシデント
内部監査やクレームなどで出た不適合の是正処置もそうですが、その他でも出た改善点に対し、是正処置を行い再発防止策をとって2度と発生しないように対策します。
その他、インシデントとして処置対応すべきことも再発防止策を取って改善し、次からの運用に活かします。
11.まとめ
以上、9つの運用について解説しました。
その他要求事項にあるコミュニケーションや文書管理など、9つの運用以外の内容については本業で実施している活動であることがほとんどです。
もし自分たちの活動がやりすぎていたり、運用しきれないと思ったら一度運用していることを整理してみるといいかもしれません。
迷った時には外部の専門家に相談してみてください。
ISO・Pマークについてのお悩みはありませんか?
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ