それでは、一からISMS認証を取得する場合はどのような流れになるのでしょうか。基本的なISMS認証を取得するためには、以下のような流れでISMSの構築を進めていくことになります。
今回はその前半として、(1)「方針および体制の準備・計画」から(3)「アセスメント結果への対応実施」について掘り下げます。
ISMS認証を取得するためには、まず組織として、ISMS構築を進める体制と方針を準備する必要があります。体制としては、ISMS認証プロジェクトやタスクフォースといったものを組成し、トップマネジメントから現場まで一体となったチームを結成します。
ここで注意する点は、プロジェクトチームのオーナーに役員などのマネジメント層を据える必要があることです。こうすることでマネジメント層が認証取得に向けてコミットしていることを社内に示し、各部署長に協力を仰ぎやすくなります。
また、プロジェクトリーダーにはある程度の決定権を持たせ、柔軟な対応ができるようにすることも重要です。メンバーは、業務と社内の状況を把握している担当者を各部門からアサインすることが求められます。業務知識が乏しいと現場での情報の洗い出しに不備が出たり、実効性の無い対策をとってしまったりする可能性があります。さらに、社内の状況に明るくないと他部署との不要な軋轢を生んでしまう可能性があります。
体制を構築できたら、次はISMS認証取得の方針を作成します。認証取得の方針には、組織としてなぜ情報セキュリティを管理する必要があるかといった内容を盛り込んで作成し、文書として組織内に周知するともに必要に応じて参照できるようにします。
方針は以下の事項を満たすことが要求されています。
Copyright © ITmedia, Inc. All Rights Reserved.