検索
連載

ISMS改訂対応の総仕上げ、移行審査の計画を立て、受審するみならい君のISMS改訂対応物語(6)(1/3 ページ)

みならいくんたちのISMS改訂準備も今回が最終回。最後は移行審査までの計画を整理し、これまでの総仕上げを行います。

Share
Tweet
LINE
Hatena
「みならい君のISMS改訂対応物語」のインデックス

連載目次

 この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMS仕組みを新規格(ISO/IEC27001:2013)へ対応する作業を行っていく物語です。

 読者の皆さまには、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。

 なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。

 最終回である今回のテーマは、「移行審査の計画を立て、受審する」です。


改訂対応作業の整理

さ〜みんな、そろそろ始めようか?


は〜い、本日もよろしくお願いしま〜す!


みならい君

本日でミーティングは終わりですね。


これまでのミーティングで解説した、改訂に必要な作業のポイントや概要は理解できたかな?


はい! 意図をキチンと整理できました!


みならい君

常務! 早速、改訂作業を開始するんですね!


まずは改訂作業を整理しようか。


はい常務! 改訂作業のステップは、以下のとおりです。


  • ISMSの方針を改訂する
  • 基本規程(ISMSマニュアルなど)を改訂する
  • 管理策に関する規程(情報セキュリティ対策規程など)を改訂する
  • 適用宣言書を改訂する

それでは詳しく見ていこうか! まずはISMSの方針の改訂だね。


みならい君

ISMSの方針内容に関する規格要求事項の変更は「d)ISMSの継続的改善へのコミットメントを含む」ことが追加されただけですよね?


そうだね、現在のISMSの方針にその文面を追加する必要があるね!



図1 改訂作業のステップ(クリックで拡大)

次は、基本規程(ISMSマニュアルなど)の改訂のポイントですね!


みならい君

第2回目第3回目のミーティングでやった、追加/変更された規格要求事項の対応ですね!


そうだね、みならい君。どのような手順を、ISMSマニュアルなどの基本規程に追加/変更すべきか、整理してくれるかな?


みならい君

はい常務、待ってました! 追加する必要がある手順は、以下のとおりです!


  • ISMSのリスクマネジメントに関する手順
  • 情報セキュリティ目的/目標の管理に関する手順
  • ISMSにおけるコミュニケーションの管理に関する手順

みならい君、すご〜い!


みならい君

へへへ、また、変更する必要がある手順は以下のとおりです!


  • リスクアセスメントおよびリスク対応に関する手順
  • 変更管理に関する手順
  • 委託している業務や委託先の管理に関する手順
  • 是正処置に関する手順

特に、二つのリスクマネジメントは、基本規程にその手順を明確にする必要があるわね


よく整理できているね! これらを踏まえて、ISMSマニュアルなどの基本規程を改訂しよう!


みならい君

は〜い!



図2 二つのリスクマネジメント(クリックで拡大)

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  4. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  5. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  9. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  10. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
ページトップに戻る