第2回 ISMSの進め方(準備・計画〜実施編)いまさら聞けないISMS(2/3 ページ)

» 2016年03月11日 07時00分 公開
[持田広志ITmedia]

ISMS認証を取得する流れ

ISMSを構築する

 それでは、一からISMS認証を取得する場合はどのような流れになるのでしょうか。基本的なISMS認証を取得するためには、以下のような流れでISMSの構築を進めていくことになります。

  1. 方針および体制の準備・計画
  2. リスクアセスメントの実施
  3. アセスメント結果への対応実施
  4. 運用の開始
  5. 内部監査の実施
  6. 是正予防対応
  7. 審査

 今回はその前半として、(1)「方針および体制の準備・計画」から(3)「アセスメント結果への対応実施」について掘り下げます。

1.方針・体制の準備・計画

 ISMS認証を取得するためには、まず組織として、ISMS構築を進める体制と方針を準備する必要があります。体制としては、ISMS認証プロジェクトやタスクフォースといったものを組成し、トップマネジメントから現場まで一体となったチームを結成します。

 ここで注意する点は、プロジェクトチームのオーナーに役員などのマネジメント層を据える必要があることです。こうすることでマネジメント層が認証取得に向けてコミットしていることを社内に示し、各部署長に協力を仰ぎやすくなります。

 また、プロジェクトリーダーにはある程度の決定権を持たせ、柔軟な対応ができるようにすることも重要です。メンバーは、業務と社内の状況を把握している担当者を各部門からアサインすることが求められます。業務知識が乏しいと現場での情報の洗い出しに不備が出たり、実効性の無い対策をとってしまったりする可能性があります。さらに、社内の状況に明るくないと他部署との不要な軋轢を生んでしまう可能性があります。

 体制を構築できたら、次はISMS認証取得の方針を作成します。認証取得の方針には、組織としてなぜ情報セキュリティを管理する必要があるかといった内容を盛り込んで作成し、文書として組織内に周知するともに必要に応じて参照できるようにします。

 方針は以下の事項を満たすことが要求されています。

  1. 組織の目的に対して適切である
  2. 情報セキュリティ目的を含むか、または情報セキュリティ目的の設定のための枠組みを示す
  3. 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む
  4. ISMS の継続的改善へのコミットメントを含む

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ