2024年11月7日
ISMAPに必要な管理基準3つを解説
ISMAP登録に必要な管理基準は、「ガバナンス基準」「マネジメント基準」「管理策基準」の3種類です。ISMSにおける規格要求事項[JIS Q(ISO/IEC) 27001,27002]にあたるものであり、ISMAPに対応するために考慮しなければならない項目がまとまったものになります。
2021年12月15日
ISMS(ISO27001)認証取得・運用にあたって、重要になるのが「ISMS情報セキュリティリスク計画書」です。
ISMS(ISO27001)情報セキュリティリスク計画書の作り方のポイントは「適切な認識」「適切なインプット」「適切なプラン」の3つがあります。
情報セキュリティリスクアセスメントの結果によって、下記を判断する必要があります。
⑴現状のセキュリティルールによって、リスク回避できているもの
⑵現状のセキュリティルールでは、リスク回避できないが、すぐに対応できるもの
⑶現状のセキュリティルールでは、リスク回避できず、対応するのに時間がかかるもの
情報セキュリティリスク計画書は、上記の(3)について、具体的な対応計画を作成するものになります。
情報セキュリティリスクアセスメントをする上では、まず何がセキュリティリスクになるのか認識する必要があります。
確認する角度として、役立つのが、CIAの概念になります。
ここで簡単に説明致します。3つのダメを覚えてください。
⑴機密性(confidentiality)を維持する必要があるもの=漏れてはダメ
許可されている人だけが情報にアクセスでき、情報が外部に漏洩しないこと
⑵完全性(integrity)を維持する必要があるもの=間違ってはダメ
情報が改ざんされたりせず、整合性が取れて完全な状態であること
⑶可用性(availability)を維持する必要があるもの=すぐ使えないとダメ
システムが安定運用されており、必要な時に情報にアクセス出来ること
3つの視点から大事なモノを評価し、現状把握しましょう。
まず最初に、ISOの審査を意識するあまり、「情報セキュリティリスク計画書」に該当する案件はないほうがいいのではないか?解決していない案件は記載しないほうがいいのではないか?といった認識は止めてほしいのです。
審査員の視点からしても、情報セキュリティリスクに該当する案件がない方が不自然で、むしろ、現状把握した上で、リアルな情報セキュリティリスク対応が必要な案件がピックアップされている方が良いです。
情報セキュリティリスク対応が必要な案件をピックアップするには、適切なインプットが必要になります。
上記で記載した、情報セキュリティリスクアセスメントの結果だけでなく、さまざまな角度から情報セキュリティリスクを評価したほうが良いです。
例えば、トップマネジメントを交えての経営会議等で、出てきた課題やアウトプット、日々、発生している情報漏洩、不正アクセス、ランサムウェア等の事例、DXを推進する上での課題等からも、自社で対応すべきことがないか幅広く検討していくことが重要になります。
情報セキュリティリスク対応が必要な案件のピックアップが出来たら、あとはどう管理するかです。
適切な計画が立てれるかどうかが、ポイントになります。
まずは案件を2つの視点に分けると良いと思います。
①短期的な視点からの情報セキュリティリスク計画
②長期的な視点からの情報セキュリティリスク計画
先ず①については、短期的な案件になるので、現在動いているプロジェクトにうまく組み合わせて管理できないか検討すると管理しやすいと思います。
また②は個別のプロジェクトで管理できないような、会社全体に関わる課題も多いと思うので、何らかの計画書を別で作成して、管理する仕組みがないとリスク対応が進まないと思います。
①に共通して言えますが、プランになるので、どれだけ具体的に計画できるかがポイントになります。
・なぜ(Why) リスク対応の目的、背景
・何を(What) リスク対応の内容
・誰が(Who) リスク対応の責任者
・誰と・誰に(with Whom)対応の関係者
・いつ(When) リスク対応の納期
・どこで(Where) リスク対応の場所
・どのように(How)リスク対応の手順
・いくら(How much) リスク対応にかかる費用
・どれだけ(How many) リスク対応の量
ISMS(ISO27001)情報セキュリティリスク計画書の作り方を3つのポイントをまとめると、審査での評価は気にせずに、自社の課題に邁進することが大切になります。
自社の課題を情報セキュリティリスク計画書に反映され、具体的に管理することで 実態にあった仕組みの中で、ISMS(ISO27001)情報セキュリティリスク計画書を運用していけると思います。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください