TOP
>
プロジェクト管理
> ステージ2審査
ISMSからみる情報セキュリティ対策
第6回:審査対応と更新
著者:
みずほ情報総研 青木 淳
2005/11/14
前のページ
1
2
3
4
次のページ
ステージ2審査
ステージ2審査では組織がその方針・目的・手順にしたがってセキュリティポリシーを実施しているかを確認する。ISMSがISMS認証基準やその他の標準に照らして合致し、方針・目的・目標を達成しているかを確認する。ステージ2審査の目的は以下の内容を確認することである。
被審査組織が、そのセキュリティポリシー・目的・手順を確実に遵守してこと
ISMSがISMS認証基準(Ver.2.0)および関連する文書に適合していること(適合性)
組織のセキュリティポリシー目的を達成しようとしていること(有効性)
表7:ステージ2審査の目的
ステージ2審査の対応
ステージ2審査における審査対象はISMSを適用する組織全体となる。業務内容が同様の組織が複数ある場合、サンプルとなる部署を選んで対象とすることがある。ISMS認証基準で見るとすべての要求事項が対象となるが、審査の焦点は次の通りである。
情報セキュリティリスクのアセスメントとISMSの計画フレームワーク
適用宣言書
情報セキュリティポリシーおよびセキュリティ目的
情報セキュリティ目的や目標に対するセキュリティパフォーマンスの監視、測定、報告やレビュー
情報セキュリティレビューやマネジメントレビュー
情報セキュリティポリシーに関するマネジメントの責任
情報セキュリティポリシー、リスク評価の結果、情報セキュリティの目的・目標、プログラム、手順、実施結果およびセキュリティレビューの結果の関連性
表8:審査の焦点
したがって、こちらの対応も基本的にステージ1審査と同様に、審査用想定問答集の作成や模擬審査が審査対応の準備となるが、ステージ1審査と違ってISMSを構築したきた担当者ではなく、認証取得範囲組織のユーザへの審査も入るので、ステージ2審査の対応としては、更に徹底する必要がある。例えば、次のようにQ&Aの内容をある程度具体的に提示して、ユーザが回答しやすいようにする。
Q&A事例
情報セキュリティポリシーの内容を知っていますか。また、情報セキュリティポリシーを踏まえ、あなたのなすべきことは何ですか。
情報セキュリティポリシーの骨子を答え、その後「情報セキュリティに関する手順書「ISMS文書類」を遵守して、○○業務を遂行することです。」
このような事例をユーザーに提示し、模擬審査を実施して改善的を明確にするとよいと思われる。ステージ2審査の想定問答集の例を表9に示す。
想定される質問・要求事項
PCの利用について
IDとパスワードはどのように管理していますか。また、パスワード設定ルールはありますか。
クライアントPCを使用する際のルールを教えてください。
クライアントPCにはスクリーンセーバ・ロックが設定されてますか。設定を教えてください。また、設定を見せてください。
ウィルス対策はどのように実施していますか。
ウィルス感染を発見した場合、どのように対応しますか。
電子メールの利用について
電子メールで機密情報の授受を行うことがありますか。ある場合、どのようなルールで実施していますか。
電子メールを私用アドレスや携帯電話に転送することがありますか。
インターネットの利用について
インターネットからソフトウェアのダウンロードを実施していますか。
インターネットの利用に関するルールはありますか。
表9:ISMS想定問答集(ユーザ用)
前のページ
1
2
3
4
次のページ
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
INDEX
第6回:審査対応と更新
審査対応
ステージ1審査の対応
ステージ2審査
定期・維持審査、更新審査の対応