ISMS構築の流れ
ISO/IEC27001(JISQ27001)に基づくシステム構築からISMS運用・維持の流れは、以下の通りです。
-
推進体制の構築(事務局等の体制構築)
-
適用範囲および境界の定義、基本方針の策定、ISMSの基本枠組みを織り込んだISMSマニュアル(リスク分析、評価の取り組み手順の確定、全社員への教育ほかを含む)の作成
-
情報資産の洗い出し
-
リスクの特定化・明確化
-
リスクアセスメント(リスクの分析評価、情報資産のグループ化、資産価値、脅威、脆弱性の特定、リスク評価、管理策の選択、適用宣言書の策定)
-
リスク対応計画書の策定(具体的背策、実施責任者、タイムスケジュールの明確化)
-
手順書等の策定
-
システム運用開始(運用前の組織への必要事項の周知、教育なども含む)
-
内部監査(内部監査員の教育、認定登録、監査計画書、チェックリストなども含む)
- マネジメントレビュー(経営陣によるレビュー)
基本的には、ISMSとしてPDCAのサイクルを実施すれば、ISMSの認証に向けての準備が整うことになります。
なお上記の1~5は、ISO/IEC27001(JISQ27001)規格要求事項の4.2.1項 「ISMSの確立」に対応する部分となります。
すなわち、以下の要求事項に対応します。
a) 事業・組織・所在地・資産・技術の特徴の見地から,ISMS の適用範囲及び境界を定義する。この定義には,適用範囲からの除外について,その詳細及びそれが正当である理由も含めるものとする(1.2参照)。
(中略)
j) 適用宣言書を作成する。
適用宣言書は,次を含むように作成しなければならない。
1) 4.2.1 g)によって選択した管理目的及び管理策,並びにそれらを選択した理由
2) 現在実施している管理目的及び管理策[4.2.1 e) 2) 参照]
3) 附属書A に規定された管理策の中で適用除外とした管理目的及び管理策,並びにそれらを適用除外とすることが正当である理由注記 適用宣言書は,リスク対応に関する決定の概要を提供する。適用除外に対する理由付けは,不注意による管理策の抜けを起こさないための点検手段を提供する。
人が登録 
