ISMS改訂対応の総仕上げ、移行審査の計画を立て、受審する:みならい君のISMS改訂対応物語(6)(1/3 ページ)
みならいくんたちのISMS改訂準備も今回が最終回。最後は移行審査までの計画を整理し、これまでの総仕上げを行います。
この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMS仕組みを新規格(ISO/IEC27001:2013)へ対応する作業を行っていく物語です。
読者の皆さまには、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。
なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。
最終回である今回のテーマは、「移行審査の計画を立て、受審する」です。
改訂対応作業の整理
さ〜みんな、そろそろ始めようか?
は〜い、本日もよろしくお願いしま〜す!
本日でミーティングは終わりですね。
これまでのミーティングで解説した、改訂に必要な作業のポイントや概要は理解できたかな?
はい! 意図をキチンと整理できました!
常務! 早速、改訂作業を開始するんですね!
まずは改訂作業を整理しようか。
はい常務! 改訂作業のステップは、以下のとおりです。
- ISMSの方針を改訂する
- 基本規程(ISMSマニュアルなど)を改訂する
- 管理策に関する規程(情報セキュリティ対策規程など)を改訂する
- 適用宣言書を改訂する
それでは詳しく見ていこうか! まずはISMSの方針の改訂だね。
ISMSの方針内容に関する規格要求事項の変更は「d)ISMSの継続的改善へのコミットメントを含む」ことが追加されただけですよね?
そうだね、現在のISMSの方針にその文面を追加する必要があるね!
次は、基本規程(ISMSマニュアルなど)の改訂のポイントですね!
そうだね、みならい君。どのような手順を、ISMSマニュアルなどの基本規程に追加/変更すべきか、整理してくれるかな?
はい常務、待ってました! 追加する必要がある手順は、以下のとおりです!
- ISMSのリスクマネジメントに関する手順
- 情報セキュリティ目的/目標の管理に関する手順
- ISMSにおけるコミュニケーションの管理に関する手順
みならい君、すご〜い!
へへへ、また、変更する必要がある手順は以下のとおりです!
- リスクアセスメントおよびリスク対応に関する手順
- 変更管理に関する手順
- 委託している業務や委託先の管理に関する手順
- 是正処置に関する手順
特に、二つのリスクマネジメントは、基本規程にその手順を明確にする必要があるわね
よく整理できているね! これらを踏まえて、ISMSマニュアルなどの基本規程を改訂しよう!
は〜い!
Copyright © ITmedia, Inc. All Rights Reserved.