 |
|
|
| 前のページ 1 2 3 4 次のページ
|
|
| ステージ1審査の対応
|
これまで記載してきたようにステージ1審査では、経営層、ISMS管理組織を中心に以下の点を中心に審査が行われる。
- ISMSが構築されているか
- ISMSの適用範囲
- 情報セキュリティポリシー
- ISMS構築後の効果、進捗状況
- 情報資産に対して適切なリスクアセスメントが実施されているか
- 情報資産台帳と情報資産の取り扱い、洗い出しの手順書
- リスクアセスメントに関する手順書とリスクアセスメントの結果
- 適用宣言書
- 関連文書や記録、オフィスやマシン室などのサイトツアー
- トップインタビュー
表4:審査内容
したがってこれらの審査の要件をクリアできるように、審査用の想定問答集の作成や模擬審査を実施して改善点を明確にするとよい。想定問答集の例を表5、6に示す。
|
| 想定される質問・要求事項 |
| BS7799(ISMS適合性評価制度)の認証を取得する理由・意義は何ですか。 |
| なぜその業務(あるいは事業所等)を認証取得範囲とされたのかお答えください。 |
| 貴社の情報セキュリティ基本方針はどのように作成され、周知されましたか。 |
| 情報セキュリティに関して、トップとして認識しているリスクは、どのようなものがありますか。 |
| 重大な情報セキュリティ事件・事故が発生した際には、どのように対応されますか。 |
表5:ISMS想定問答集(経営層用)
| 想定される質問・要求事項 |
| 物理的および環境的セキュリティ |
| オフィスの入退管理方法についてご説明ください。 |
| オフィスの入退室の記録は取得されていますか。 |
| 情報セキュリティポリシー |
| 情報セキュリティポリシーは経営者層によって承認されていますか。 |
| 情報セキュリティポリシーに経営者による情報セキュリティへの表明文は含まれていますか。 |
| 情報資産洗い出し |
| 情報資産を洗い出しをしましたか。誰がどのような方法で洗い出しましたか。 |
| ISMS対象範囲の中で、特に重要な情報資産としてどのようなものがありますか。 |
| リスクアセスメントの実施状況 |
| リスクアセスメントの実施手順は明確にされていますか。 |
| リスクアセスメントを実施しましたか。誰がどのような方法で実施しましたか。 |
| 適用宣言書 |
| 適用しないとした管理策についてご説明ください。 |
| 適用宣言書の見直し時期は明確になっていますか。 |
| 文書管理 |
| 文書を策定したときの承認ルールは明確になっていますか。 |
| 文書を保管する際のルールは明確になっていますか。 |
表6:ISMS想定問答集(ISMS管理部門用)
|
前のページ 1 2 3 4 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
