TOP
>
プロジェクト管理
> 方針・体制の構築
ISMSからみる情報セキュリティ対策
第4回:ISMS構築手順
著者:
みずほ情報総研 青木 淳
2005/10/17
1
2
3
4
次のページ
方針・体制の構築
ISMS認証取得をするためには、その推進体制を整えてから取り組んでいく必要がある。そのためには図1のような形態のプロジェクトチームを結成する。最終的にはこのことが、工数や資源を節約することになるからである。
図1:ISMS推進体制
(画像をクリックすると別ウィンドウに拡大表示します)
推進体制の確立
推進体制には必ず役員を含める。これによって社内に対して「経営層が意思決定済みの事項である」ということを知らしめることができるからだ。加えて各部門長の協力を取りつけることが容易になると共に、社内への周知徹底も行うことができるようになる。
さらに推進体制のリーダーを決定し、作業での決定権を持たせることも必要である。これによって、進捗管理の責任の所在を明確にすると共に、効率的に作業を推進することができる。できれば専任が望ましいが、兼務でもかまわない。推進体制のメンバーは、各部門の業務に精通した担当者をアサインすることが望ましい。というのも、認証取得範囲内の情報資産を洗いだし、それらの情報がどのように扱われているのかを把握する必要があるからである。
方針の確定
ISMS認証取得のプロジェクトチームが結成された後は、ISMS認証取得の方針を作成する必要がある。クライアントからの要求や官公庁の調達用件への対応のために取得する場合などと、実は何のためにISMS認証取得を目指すのかがあいまいなケースが多く、目的が不明確だと方針がぶれて、以降の作業に影響をきたすこともある。この作業は社内のコンセンサスを得るうえでも重要な部分でもあるので、明確にしておく必要がある。
認証取得の方針には、企業内の組織にとって情報セキュリティがどうして重要なのかを明確にする文章を含めるとよい。ここで明示した方針が、情報セキュリティに関する企業内の共通認識である情報セキュリティ基本方針の「目的」に引き継がれることになる。認証取得の方針に記載されるべき内容を表1に示す。
情報セキュリティの重要性
現在の企業内における情報セキュリティ対策の現状
情報セキュリティマネジメントシステムの導入の意義
ISMS認証取得を目指す理由
ISMS適用範囲の選定利用
表1:ISMS認証取得の方針となるべき内容
1
2
3
4
次のページ
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
INDEX
第4回:ISMS構築手順
方針・体制の構築
コンサルタントと審査登録機関の選定
審査登録機関の選定
リスクアセスメントとリスク対応
