★ 本記事のテーマ
多くの要求内容を求められる
ISMS,ISO27001ですが、
どの組織も最初から細かくルールを
構築・運用しているわけではありません。
組織で必要最低限のルール運用から
ISMS,ISO27001要求レベルまでの上げ方を
解説します。
少しずつ上げていかないと
組織が追い付かないことを
意識しましょう。
- ①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
- ②ISMS化する前の組織の状態
- ③ISMS化するステップを解説!
①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
まず、ゴールである、
ISMS,ISO27001 運用する組織に
必要な規程一覧を
紹介します。
関連ブログ記事にて、確認ください。
 |
【ISMS,ISO27001 運用する組織に必要な規程が何かがわかる】リンク 情報セキュリティは煩雑な運用になりがちなため、必要最低限にするコツが大事! |
規程類一覧
リンクのとおり、
情報セキュリティは品質管理より要求事項が多いため、
必要最低限の規程類でまとめることが大事です。
その一覧は
| No | ISMS | 目的 |
| 1 | 情報セキュリティーポリシー | 経営陣からの情報セキュリティに対する宣言 |
| 2 | 情報セキュリティ運営管理規程 | ISMS体制・責任を定めたもの |
| 3 | 文書化した情報の管理 | 文書管理方法 |
| 4 | ISMSマニュアルの発行・管理 | 規程類以外で、必要な定義をまとめたもの |
| 5 | セキュリティ事件・事故管理規程 | インシデント発生時の対応方法 |
| 6 | 人的セキュリティ管理規程 | 力量向上に必要な要求事項 |
| 7 | 是正処置管理規程 | 不適合、インシデント発生後の処置方法 |
| 8 | 内部監査管理規程 | 内部監査運用 |
| 9 | 外部審査管理規程 | 外部審査運用 |
| 10 | 事業継続管理規程 | 不慮の災害・事故に対する被害を最小化するルール |
| 11 | アクセス管理規程 | アクセス管理方法 |
| 12 | 物理的・環境的管理規程 | 業務フロアー内のルール |
| 13 | リスクマネジメント管理規程 | リスクへの対応方法 |
| 14 | 法規制管理 | 情報セキュリティ法規制関連 |
運用に必要な規程類・マニュアルの詳細を紹介
上の表にて、
・それぞれの規程類の目的
・規程類以外にISMSマニュアルを追加
を加えます。
それを下表でまとめます。
| 行 | 番号 | 文書一覧 |
| 1 | (1) | 情報セキュリティーポリシー |
| 2 | (2) | ISMSマニュアル |
| 3 | 1 | 適用範囲関連資料(1.組織図) |
| 4 | 2 | 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図) |
| 5 | 3 | 適用範囲関連資料(3.ネットワーク図) |
| 6 | 4 | 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図) |
| 7 | (3) | 情報セキュリティ運営管理規程 |
| 8 | 1 | 年間情報セキュリティ目標 |
| 9 | 2 | 情報セキュリティ委員会録 |
| 10 | 3 | プロジェクト会議録 |
| 11 | 4 | 稟議書 |
| 12 | 5 | 外部委託における契約書,SLA |
| 13 | 6 | マネジメントレビュー報告書 |
| 14 | 7 | マネジメントレビュー議事録 |
| 15 | 8 | 文書管理台帳 |
| 16 | (4) | リスクマネジメント管理規程 |
| 17 | 1 | 情報資産台帳 |
| 18 | 2 | 重要資産持ち出し管理台帳 |
| 19 | 3 | リスクアセスメント表 |
| 20 | (5) | 適合性管理規程 |
| 21 | 1 | 法規制管理台帳 |
| 22 | 2 | ライセンス管理台帳 |
| 23 | (6) | システムの開発および保守管理規程 |
| 24 | 1 | ブロックリスト |
| 25 | (7) | 事業継続管理規程 |
| 26 | 1 | 訓練記録 |
| 27 | 2 | バックアップ確認表 |
| 28 | 3 | 復旧手順書 |
| 29 | 4 | 事業継続計画テスト結果記録 |
| 30 | (8) | アクセス管理規程 |
| 31 | 1 | アカウント管理台帳 |
| 32 | 2 | アカウント申請書 |
| 33 | 3 | 誓約書 |
| 34 | 4 | リモートワーク許可申請書 |
| 35 | 5 | 情報セキュリティー供給者レビューチェックリスト |
| 36 | (9) | 物理的・環境的管理規程 |
| 37 | 1 | 入退室管理台帳 |
| 38 | 2 | 来訪者入退室管理台帳 |
| 39 | 3 | 作業報告書 |
| 40 | 4 | 情報資産台帳廃棄管理台帳 |
| 41 | (10) | 人的セキュリティ管理規程 |
| 42 | 1 | 力量管理表 |
| 43 | 2 | 力量認定要件表 |
| 44 | 3 | 教育・研修アンケート |
| 45 | 4 | 教育・研修受講記録管理台帳 |
| 46 | (11) | 内部監査管理規程 |
| 47 | 1 | 内部監査員リスト |
| 48 | 2 | 内部監査計画書 |
| 49 | 3 | 内部監査結果 |
| 50 | 4 | 内部監査報告書 |
| 51 | (12) | 外部審査管理規程 |
| 52 | 1 | 改善機会一覧表 |
| 53 | (13) | 是正処置管理規程 |
| 54 | 1 | 是正処置要求・報告書 |
| 55 | (14) | セキュリティ事件・事故管理規程 |
| 56 | 1 | セキュリティ事件・事故報告書 |
必要最低限なものまで絞りましたが、それでもかなりの文書が必要だとわかりますね。
②ISMS化する前の組織の状態
どの組織でも、最初からISMS,ISO27001には対応していません。
情報に対するルールや運用方法がある程度でしょう。
ISMS化する前の組織運用
自分たちなりに必要なルールや運用方法はどんなものかを列挙しましょう。
| 行 | 番号 | 文書一覧 |
| 3 | 1 | 適用範囲関連資料(1.組織図) |
| 4 | 2 | 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図) |
| 5 | 3 | 適用範囲関連資料(3.ネットワーク図) |
| 10 | 3 | プロジェクト会議録 |
| 11 | 4 | 稟議書 |
| 31 | 1 | アカウント管理台帳 |
| 32 | 2 | アカウント申請書 |
ぐらいでしょう。
組織に関する基本情報、会議録、アカウント設定くらいがある程度でしょう。
ISMS,ISO27001レベルに必要な
規程類・文書を構築していきましょう。
③ISMS化するステップを解説!
大事なことは、
不確定要素(リスク)が全くなければ、
何もしなくていい。
でも、
逆に、情報セキュリティへのアピールによる高評価を得たい
などを受け、
ISMS,ISO27001レベルに
上がっていくわけです。
これから、1例として4つステップで
組織が情報セキュリティへの取り組み強化する
様子を解説します。
- 【ステップ1】情報セキュリティトラブルが起きてしまった。
- 【ステップ2】トラブルが頻発するようになった。
- 【ステップ3】顧客、ビジネスパートナーへのリスク回避必須となった
- 【ステップ4】ISMS構築、ISO27001取得が必須となった。
1つずつ見てきましょう。
【ステップ1】情報セキュリティトラブルが起きてしまった。
気持ちとしては、本来はやりたくない業務です。
しかし、そんな組織にトラブルが発生することで
仕方がなく、対策を取り始めるのが現実
です。
意外と思うかもしれませんが
身近で地味なミスが始まる!
だけど、
それを放置しておくと
致命傷になりうるトラブルに
発展します。
品質、環境などの管理系において、だいたい当てはまります。
具体的には、
- フィッシングメール・マルウェア添付ファイル
- メール誤送信・添付ミスによる情報漏えい
- パスワード使い回し・弱い認証による不正ログイン
- ランサムウェアによる業務停止(バックアップ不備)
- ノートPC・USBメモリ・紙資料の紛失・盗難
このような攻撃を受けて、被害に遭って初めて
対策を投じることになります。
★対策
ちょっとしたルール化や
ルールを運用するための文書・帳票が
登場するようになります。
| 行 | 番号 | 文書一覧 |
| 3 | 1 | 適用範囲関連資料(1.組織図) |
| 4 | 2 | 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図) |
| 5 | 3 | 適用範囲関連資料(3.ネットワーク図) |
| 6 | 4 | 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図) |
| 10 | 3 | プロジェクト会議録 |
| 11 | 4 | 稟議書 |
| 27 | 2 | バックアップ確認表 |
| 28 | 3 | 復旧手順書 |
| 31 | 1 | アカウント管理台帳 |
| 32 | 2 | アカウント申請書 |
| 55 | (14) | セキュリティ事件・事故管理規程 |
| 56 | 1 | セキュリティ事件・事故報告書 |
上表の黄色マーカー部分が追加されるでしょう。
・緊急体制
・バックアップ・復旧
・事故報告書
などの必要最低限のものが追加されることが
イメージできますね。
【ステップ2】トラブルが頻発するようになった。
【ステップ1】で済めばここでEndですが、
最初は軽視していても、
さすがにまずい!となり、
目先のトラブル回避だけでなく
ルール運営が必要となります。
ルール運営化するために、
規程がいくつか増えます。
表で追加部分を見てみましょう。
| 行 | 番号 | 文書一覧 |
| 3 | 1 | 適用範囲関連資料(1.組織図) |
| 4 | 2 | 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図) |
| 5 | 3 | 適用範囲関連資料(3.ネットワーク図) |
| 6 | 4 | 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図) |
| 7 | (3) | 情報セキュリティ運営管理規程 |
| 9 | 2 | 情報セキュリティ委員会録 |
| 10 | 3 | プロジェクト会議録 |
| 11 | 4 | 稟議書 |
| 12 | 5 | 外部委託における契約書,SLA |
| 16 | (4) | リスクマネジメント管理規程 |
| 17 | 1 | 情報資産台帳 |
| 18 | 2 | 重要資産持ち出し管理台帳 |
| 25 | (7) | 事業継続管理規程 |
| 27 | 2 | バックアップ確認表 |
| 28 | 3 | 復旧手順書 |
| 30 | (8) | アクセス管理規程 |
| 31 | 1 | アカウント管理台帳 |
| 32 | 2 | アカウント申請書 |
| 36 | (9) | 物理的・環境的管理規程 |
| 37 | 1 | 入退室管理台帳 |
| 38 | 2 | 来訪者入退室管理台帳 |
| 39 | 3 | 作業報告書 |
| 40 | 4 | 情報資産台帳廃棄管理台帳 |
| 41 | (10) | 人的セキュリティ管理規程 |
| 42 | 1 | 力量管理表 |
| 44 | 3 | 教育・研修アンケート |
| 55 | (14) | セキュリティ事件・事故管理規程 |
| 56 | 1 | セキュリティ事件・事故報告書 |
いかがでしょうか。
上表からいくつか規程が登場しています。
- 情報セキュリティ運営管理規程
- リスクマネジメント管理規程
- 事業継続管理規程
- アクセス管理規程
- 物理的・環境的管理規程
- 人的セキュリティ管理規程
情報セキュリティ対策を
組織で運用するために、
ルール整備が整ってきます。
【ステップ3】顧客、ビジネスパートナーへのリスク回避必須となった。
【ステップ2】でも十分かと思いますが、
それなりにセキュリティレベルが上がったとはいえ、
内外の環境状況をみて、
が必要と感じるでしょう。
ルールができたとはいえ、形骸化するのは時間の問題でもあり、
有効に機能させるための組織化が必要となります。
表で追加部分を見てみましょう。
| 行 | 番号 | 文書一覧 |
| 1 | (1) | 情報セキュリティーポリシー |
| 3 | 1 | 適用範囲関連資料(1.組織図) |
| 4 | 2 | 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図) |
| 5 | 3 | 適用範囲関連資料(3.ネットワーク図) |
| 6 | 4 | 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図) |
| 7 | (3) | 情報セキュリティ運営管理規程 |
| 8 | 1 | 年間情報セキュリティ目標 |
| 9 | 2 | 情報セキュリティ委員会録 |
| 10 | 3 | プロジェクト会議録 |
| 11 | 4 | 稟議書 |
| 12 | 5 | 外部委託における契約書,SLA |
| 15 | 8 | 文書管理台帳 |
| 16 | (4) | リスクマネジメント管理規程 |
| 17 | 1 | 情報資産台帳 |
| 18 | 2 | 重要資産持ち出し管理台帳 |
| 20 | (5) | 適合性管理規程 |
| 21 | 1 | 法規制管理台帳 |
| 22 | 2 | ライセンス管理台帳 |
| 23 | (6) | システムの開発および保守管理規程 |
| 24 | 1 | ブロックリスト |
| 25 | (7) | 事業継続管理規程 |
| 26 | 1 | 訓練記録 |
| 27 | 2 | バックアップ確認表 |
| 28 | 3 | 復旧手順書 |
| 29 | 4 | 事業継続計画テスト結果記録 |
| 30 | (8) | アクセス管理規程 |
| 31 | 1 | アカウント管理台帳 |
| 32 | 2 | アカウント申請書 |
| 33 | 3 | 誓約書 |
| 34 | 4 | リモートワーク許可申請書 |
| 36 | (9) | 物理的・環境的管理規程 |
| 37 | 1 | 入退室管理台帳 |
| 38 | 2 | 来訪者入退室管理台帳 |
| 39 | 3 | 作業報告書 |
| 40 | 4 | 情報資産台帳廃棄管理台帳 |
| 41 | (10) | 人的セキュリティ管理規程 |
| 42 | 1 | 力量管理表 |
| 44 | 3 | 教育・研修アンケート |
| 45 | 4 | 教育・研修受講記録管理台帳 |
| 53 | (13) | 是正処置管理規程 |
| 54 | 1 | 是正処置要求・報告書 |
| 55 | (14) | セキュリティ事件・事故管理規程 |
| 56 | 1 | セキュリティ事件・事故報告書 |
上表からわかるように、組織化によって、
下の項目が追加されました。
- 情報セキュリティーポリシー
- 年間情報セキュリティ目標
- 適合性管理規程
- 法規制管理台帳
- ライセンス管理台帳
- システムの開発および保守管理規程
- 事業継続計画テスト結果記録
- 誓約書
情報セキュリティ対策を
組織で運用するために、
ルール整備が整ってきます。
【ステップ4】ISMS構築、ISO27001取得が必須となった。
【ステップ3】レベルまで組織運用できていれば、
となるでしょう。
あとは、
具体的には、
- ISMSマニュアル
- マネジメントレビュー
- リスクアセスメント
- 情報セキュリティー供給者レビュー
- 内部監査
- 外部審査
が追加されます。
すでに、組織でISMS運用が機能されているので、
追加対応はそれほど大変でもないでしょう。
全ステップのまとめ
【ステップ0】から【ステップ4】までの変化を図でまとめます。
本記事のやり方が絶対ではなく、
組織によって、若干の味付けの違いはあるでしょう。
ただ、いきなり、
ISMS,ISO27001要求レベル
へ組織をもっていくのは、
無理なので、
1つずつステップを刻む必要があります。
まとめ
以上、「【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる」を解説しました。
- ①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
- ②ISMS化する前の組織の状態
- ③ISMS化するステップを解説!