第5回：ISMS運用手順 (4/4)

TOP＞プロジェクト管理＞文章化された手順の確立

ISMSからみる情報セキュリティ対策

第５回：ISMS運用手順
著者：みずほ情報総研青木淳 2005/10/31

前のページ 1 2 3 4

文章化された手順の確立

ISMS認証基準では、文書化された手順が要求事項となっている。内部監査規程といった社内の文書には、以下のような内容を含める。

監査計画の手順

監査の年度計画の策定と計画の承認、承認者の決定
個別の監査計画の策定と計画の承認、承認者の決定
監査チームの編成、監査チェックリスト、被監査部門との調整、通知の手順など

監査実施の手順

監査の実施手順
書類の記入方法、原本と写しの保管方法
フォローアップの手順

監査結果の報告

監査結果の報告手順（被監査部門への報告、マネジメントレビューへのインプット情報）
フォローアップの報告手順

記録の管理の手順

監査記録の維持管理方法
記録の残し方、帳票の形式

表9：文章化の規定

是正措置・予防措置

ISMSの認証基準で要求されている是正措置とは再発防止、予防措置とは未然防止と言い換えると理解しやすいと思われる。いずれも原因を取り除くことが目的であり、トラブル対応などのその場の応急対応とは必ずしも一致しない。

是正措置と予防措置については、ISMS認証基準上では文書化とその維持が要求されている。その文書の中で規定すべき要求事項は以下の通りである。

是正措置

ISMSの導入及び運用における不適合の識別
不適合の原因の特定
不適合の再発防止を確実にするための処置の必要性と評価
必要な是正措置の決定及び実施
実施した処置の結果の記録
実施した是正措置のレビュー

予防措置

起こり得る不適合及び原因の識別
必要な予防措置の決定及び実施
実施した処置の結果の記録
実施した予防措置のレビュー
変化したリスクの識別及び大きく変化したリスクに対して確実に注意が払われるよう

表10：文章の中の要求事項

予防措置の優先順位については、リスクアセスメントの結果に基づいて決定すること。

ここまででISMSの構築・運用について解説した。PDCAのサイクルがまわると、次は審査の段階に入る。次回は審査の対応について解説していく。

前のページ 1 2 3 4

著者プロフィール
みずほ情報総研株式会社青木淳
みずほ情報総研株式会社システムコンサルティング部シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。