 |
|
|
| 前のページ 1 2 3 4 次のページ
|
|
| ステージ2審査
|
ステージ2審査では組織がその方針・目的・手順にしたがってセキュリティポリシーを実施しているかを確認する。ISMSがISMS認証基準やその他の標準に照らして合致し、方針・目的・目標を達成しているかを確認する。ステージ2審査の目的は以下の内容を確認することである。
- 被審査組織が、そのセキュリティポリシー・目的・手順を確実に遵守してこと
- ISMSがISMS認証基準(Ver.2.0)および関連する文書に適合していること(適合性)
- 組織のセキュリティポリシー目的を達成しようとしていること(有効性)
表7:ステージ2審査の目的
|
| ステージ2審査の対応
|
ステージ2審査における審査対象はISMSを適用する組織全体となる。業務内容が同様の組織が複数ある場合、サンプルとなる部署を選んで対象とすることがある。ISMS認証基準で見るとすべての要求事項が対象となるが、審査の焦点は次の通りである。
- 情報セキュリティリスクのアセスメントとISMSの計画フレームワーク
- 適用宣言書
- 情報セキュリティポリシーおよびセキュリティ目的
- 情報セキュリティ目的や目標に対するセキュリティパフォーマンスの監視、測定、報告やレビュー
- 情報セキュリティレビューやマネジメントレビュー
- 情報セキュリティポリシーに関するマネジメントの責任
- 情報セキュリティポリシー、リスク評価の結果、情報セキュリティの目的・目標、プログラム、手順、実施結果およびセキュリティレビューの結果の関連性
表8:審査の焦点
したがって、こちらの対応も基本的にステージ1審査と同様に、審査用想定問答集の作成や模擬審査が審査対応の準備となるが、ステージ1審査と違ってISMSを構築したきた担当者ではなく、認証取得範囲組織のユーザへの審査も入るので、ステージ2審査の対応としては、更に徹底する必要がある。例えば、次のようにQ&Aの内容をある程度具体的に提示して、ユーザが回答しやすいようにする。
| Q&A事例 |
|
情報セキュリティポリシーの内容を知っていますか。また、情報セキュリティポリシーを踏まえ、あなたのなすべきことは何ですか。
|
|
情報セキュリティポリシーの骨子を答え、その後「情報セキュリティに関する手順書「ISMS文書類」を遵守して、○○業務を遂行することです。」
|
このような事例をユーザーに提示し、模擬審査を実施して改善的を明確にするとよいと思われる。ステージ2審査の想定問答集の例を表9に示す。
| 想定される質問・要求事項 |
| PCの利用について |
| IDとパスワードはどのように管理していますか。また、パスワード設定ルールはありますか。 |
| クライアントPCを使用する際のルールを教えてください。 |
| クライアントPCにはスクリーンセーバ・ロックが設定されてますか。設定を教えてください。また、設定を見せてください。 |
| ウィルス対策はどのように実施していますか。 |
| ウィルス感染を発見した場合、どのように対応しますか。 |
| 電子メールの利用について |
| 電子メールで機密情報の授受を行うことがありますか。ある場合、どのようなルールで実施していますか。 |
| 電子メールを私用アドレスや携帯電話に転送することがありますか。 |
| インターネットの利用について |
| インターネットからソフトウェアのダウンロードを実施していますか。 |
| インターネットの利用に関するルールはありますか。 |
表9:ISMS想定問答集(ユーザ用)
|
前のページ 1 2 3 4 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
