ISMS認証について、2013年の改訂内容を踏まえた流れを解説していきます。今回はリスクアセスメントへの対応を踏まえた運用と内部監査について紹介します。
この記事は会員限定です。会員登録すると全てご覧いただけます。
※編注:本稿で述べられたものは、執筆者の私見であり、執筆者が所属する法人の意見ではありません。
シリーズ記事
前回は、ISMS認証を取得するまでの流れから、「方針・体制の準備・計画」から「アセスメント結果への対応」について紹介しました。今回は、これに続く(4)「運用」、(5)「内部監査の実施」、(6)「是正予防対応」について解説します。
ISMS認証を取得する流れ
運用サイクルの一つとして、まず「教育・訓練」があります。そして、「運用の実施」「マネジメントレビュー」を行います。
その1.教育・訓練
情報セキュリティに関する作業能力を明確にして維持するため、適切な教育・訓練を実施することが求められています。
まずは、ISMSに関連する業務に携わる場合において、ISMSの管理部門、ISMSの認証取得範囲の部門、ISMS担当のマネジメント層などの担当ごとに、それぞれ必要な作業能力を明確にする必要があります。例えば、「情報セキュリティ部門での経験○年」といったものや、「社内テストに合格していること」などです。
必要な作業能力を明確にしたら次に、それぞれが必要な作業能力を維持できるように、教育訓練の計画を立案し、実施します。ISMSのために、新たに教育体系を構築するのではなく、現状で実施している教育・研修体系やリソースを利用してISMSに関する事項を盛り込むことができると、効率的に教育を実施できます。
さらに、教育を実施するだけでなく、その記録を取り、効果を測定する必要があります。よく見られる方法としては、ISMSに関するeラーニングや集合研修を実施し、その最後に確認テストを行う方法です。こうすると、確認テストに全員が合格することで効果を測定でき、また、その結果を受講履歴として残すことで、研修実施の記録にもなります。
その2.運用の実施
教育を実施し、担当者が必要な能力を身につけた後、ISMSの運用を実施します。リスクアセスメントの結果への対応と、情報管理台帳に記載した管理方法に従って情報を管理します。
その3.マネジメントレビュー
実際にISMSを運用した結果について、マネジメント層が定期的に見直すことをマネジメントレビューと言います。頻度は基本的に年1回の実施(認証基準上ではあらかじめ定めた間隔とあります)です。
マネジメントレビューの結果については、証拠として文書化して保持することが求められています。会議体などで報告した場合は議事録を作成して、書面での報告であれば報告書面にマネジメントの確認印を押印して保管するなどして記録を残します。マネジメントレビューにあたっては、ISMSの運用について以下のような各種情報をマネジメント層に伝えておくことが必要です。
Copyright © ITmedia, Inc. All Rights Reserved.