★ 本記事のテーマ
ISMS,ISO27001 組織に必要な規程類がわかる
多くの要求内容を求められる
ISMS,ISO27001ですが、
組織に必要なルールとは
具体的にどんなものかは
あまり知られていません。
組織で必要最低限のルールを解説し
ISMSの構築の仕方をお伝えします。
言われたとおりルールを作ると
ルールだらけになり
運用が厳しくなる。
それこそ、サイバーリスクが高まってしまう!
ルールだらけになり
運用が厳しくなる。
それこそ、サイバーリスクが高まってしまう!
- ①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
- ②必要な規程類の概要を解説!
- ③規程類一覧
①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
大事なのは
なぜそのルールがあるのか?
背景を理解することです。
背景を理解することです。
当然、組織の初期の状態は、
情報セキュリティは気持ちはあっても、ルール等は未整備です。
その組織にいろいろな苦労を経て
ISMSが構築されていったはずです。
その経緯、流れを理解することが大事です。
関連ブログ記事にて、確認ください。
 |
【リンク】【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる どんな背景・理由を経て、ISMSを構築していったのか?をわかりやすく解説します。 |
②必要な規程類の概要を解説!
リンクの解説記事のとおり、
必要な規程類がいくつかあります。
その規程類の種類、目的、必要な要求事項を下表にまとめます。
それぞれの要求事項を眺めることで
ISMS運営に何が必要かを
具体的にイメージすることができます。
ISMS運営に何が必要かを
具体的にイメージすることができます。
ここまで具体的に紹介する記事が
意外とないので、
QCプラネッツから紹介します。
③ 規程類一覧
個別に見ていきます。
(1)情報セキュリティーポリシー
★目的
組織一丸となって取り組む宣言
★必要な要求事項
・情報の「機密性・完全性・可用性」の維持
・法令・規制・契約の遵守
・情報セキュリティ管理体制
・リスク管理
・教育・訓練
・インシデント対応
・継続的改善
・方針(情報セキュリティポリシー)の公開
・法令・規制・契約の遵守
・情報セキュリティ管理体制
・リスク管理
・教育・訓練
・インシデント対応
・継続的改善
・方針(情報セキュリティポリシー)の公開
(2)ISMSマニュアル
★目的
組織全体の運営方針(規程類に書いていない内容)
★必要な要求事項
・ISMS適用範囲
・引用規程(ISO27001)
・組織内の用語・定義
・組織内規程類とISO27001要求事項との関係
・組織体制(体制図、ネットワーク図、フロアーズ、緊急体制図)
・引用規程(ISO27001)
・組織内の用語・定義
・組織内規程類とISO27001要求事項との関係
・組織体制(体制図、ネットワーク図、フロアーズ、緊急体制図)
(3)情報セキュリティ運営管理規程
★目的
情報セキュリティ運営の必要項目
★必要な要求事項
・組織体制(役割・責任)
・コミュニケーション(情報セキュリティ会議)
・組織間の協力(社内外)
・外部委託契約におけるセキュリティ要求事項
・情報セキュリティマネジメントシステム目標・計画・実行
・マネジメントレビュー
・文書管理(文書管理規程としてもよい)
・コミュニケーション(情報セキュリティ会議)
・組織間の協力(社内外)
・外部委託契約におけるセキュリティ要求事項
・情報セキュリティマネジメントシステム目標・計画・実行
・マネジメントレビュー
・文書管理(文書管理規程としてもよい)
(4)リスクマネジメント管理規程
★目的
リスク管理運用方法
★必要な要求事項
・リスク評価定義
・情報資産の分類・評価
・リスクアセスメント評価・運用
・リスク低減施策・運用
・情報資産の分類・評価
・リスクアセスメント評価・運用
・リスク低減施策・運用
(5)適合性管理規程
★目的
法的、ライセンス順守・管理手順
★必要な要求事項
・法的要求事項の順守
・知的所有権を遵守するための実施事項
・ライセンス管理
・知的所有権を遵守するための実施事項
・ライセンス管理
(6)システムの開発および保守管理規程
★目的
情報システムの運用(ISO27001 管理策8. 技術的管理策)
★必要な要求事項
・マルウェア対策
・技術的脆弱性の管理
・構成管理
・データマスキング
・データ漏洩防止
・情報のバックアップ
・ログ・監視・保護
・ネットワーク管理
・ウェブフィルタリング
・暗号管理
・開発環境管理
・技術的脆弱性の管理
・構成管理
・データマスキング
・データ漏洩防止
・情報のバックアップ
・ログ・監視・保護
・ネットワーク管理
・ウェブフィルタリング
・暗号管理
・開発環境管理
(7)事業継続管理規程
★目的
不慮の災害や事故等による被害を最小化するための運用
★必要な要求事項
・リスク洗い出し
・インシデントからの復旧目標
・インシデント対応手順
・平時の維持管理
・リスクアセスメントの実施と評価
・事業継続計画テストの運用・評価
・インシデントからの復旧目標
・インシデント対応手順
・平時の維持管理
・リスクアセスメントの実施と評価
・事業継続計画テストの運用・評価
(8)アクセス管理規程
★目的
アクセス管理
★必要な要求事項
・利用者のアクセス管理
・特権的アクセス権の管理
・モバイル機器の方針
・リモートワーク
・供給者関係
・特権的アクセス権の管理
・モバイル機器の方針
・リモートワーク
・供給者関係
(9)物理的・環境的管理規程
★目的
組織の物理・環境についての運営体制
★必要な要求事項
・物理的セキュリティ境界
・物理的入退
・装置のセキュリティ・保守
・物理的入退
・装置のセキュリティ・保守
(10)人的セキュリティ管理規程
★目的
人的ミスや不正行為などのリスクを回避
★必要な要求事項
・雇用
・教育・力量
・懲戒
・情報削除
・教育・力量
・懲戒
・情報削除
(11)内部監査管理規程
★目的
ISMS,ISO27001 内部監査要求事項
★必要な要求事項
・内部監査関係者
・監査計画
・監査実施手順・結果報告
・是正処置
・監査計画
・監査実施手順・結果報告
・是正処置
(12)外部審査管理規程
★目的
ISMS,ISO27001 外部審査要求事項
★必要な要求事項
・審査の計画
・審査の実施
・審査結果と処置
・審査の実施
・審査結果と処置
(13)是正処置管理規程
★目的
不適合を除去するための是正処置
★必要な要求事項
・不適合発生
・処置手順
・処置の有効性評価
・処置手順
・処置の有効性評価
(14)セキュリティ事件・事故管理規程
★目的
インシデント発生による被害を最小化
★必要な要求事項
・リスクアセスメント結果によるシステム監視
・情報セキュリティインシデントを想定
・事故発生時の報告指示体制
・事業継続管理
・懲戒手続き
・再発防止対応
・情報セキュリティインシデントを想定
・事故発生時の報告指示体制
・事業継続管理
・懲戒手続き
・再発防止対応
いかがでしょうか。
1つずつ見ていけば、
項目だけでも、
あなたの組織でやるべきことが
具体的に見えるはずです。
いきなりルールを作るのではなく
組織にISMSの必要性
ISMSで何をしたいか?
をしっかり構想することが大事です。
組織にISMSの必要性
ISMSで何をしたいか?
をしっかり構想することが大事です。
まとめ
以上、「ISMS,ISO27001 組織に必要な規程類がわかる」を解説しました。
- ①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
- ②必要な規程類の概要を解説!
- ③規程類一覧