pagetop

>このブログのトップ

MENU

  February/2008  

S M T W T F S
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29  

月別アーカイブ

blog内検索

カテゴリー表示

2008年 02月 2008年03月>

ISMS組織/審査登録機関

2008-02-27

 遅ればせながら、第一回目プロジェクト会議のレジュメ構成を紹介しておきます。
  1、ブリーフィングツアー
  2、ISMSの概要
  3、ISMS認証取得までの流れ
  4、ISMSへの取り組み
    ・適用範囲の決定
    ・ISMS組織の決定
    ・情報資産の洗い出し
    ・審査登録機関の選定

 これまで、ブリーフィングツアーとして社内を拝見し、ISMSの必要性や制度の説明、今後のスケジュールを確認したお話し、「適用範囲の決定」、「情報資産の洗い出し」について述べてきました。

 あと、「ISMS組織の決定」、「審査登録機関の選定」を簡単に述べて、第一回目プロジェクト会議のお話は終りにします。

続きを読む

Posted by nasihat 08:47:31Comments(0)TrackBack(0)

情報資産の洗い出し

2008-02-25

 先週末、A社の第3回目ISMS認証取得プロジェクト会議を開催しましたが、こちらでは、まだ、第一回目プロジェクト会議での作業の説明をしています。
 前回説明した「適用範囲の決定」に続いて、「情報資産の洗い出し」をお願いしました。

 JIS Q 27001では、リスクを特定するにあたって「ISMSの適用範囲の中にある資産及びそれらの資産の管理者を特定する。」とあります。
 また、管理策のA.7.1.1、A.7.1.2、A.7.1.3では、資産目録を作成すること。資産の管理者責任者を指定すること。資産の利用範囲を明確にすることが要求されており、情報資産の洗い出し(もしくは、情報資産の棚卸し)は、これらの作業のための基礎情報収集となります。

 そもそも「情報資産」とは何かを明確にしておかなければなりません。
 規格には、「情報資産」としての定義はありませんが、「資産」については「組織にとって価値をもともの」と定義されています。すなわち、「情報として、組織にとって価値のあるもの」ということになります。
 ”組織にとって””価値あるもの”は、ISMSにおけるキーワードです。

続きを読む

Posted by nasihat 07:43:19Comments(0)TrackBack(0)

ISMS適用範囲の決定

2008-02-22

<前回からの続きです>
 前回訪問時に、即決していただいたことから、早々に、ISMS認証取得に向けたプロジェクトを始動することとなり、第1回プロジェクト会議を開催しました。

 まずは、会社内を一通り巡回して、情報資産の存在やその扱いなどについて伺います。前回の訪問時に、一応は見学させていただき、およそは分かっていますが、ここでは、ロッカーや書棚の保管資料、パソコン内の情報、ネットワーク構成など詳細に確認させていただきます。また、屋外からも不正な侵入の可能性の確認、入退館の現状なども伺います。

 続いて、講義として、情報セキュリティの必要性など、情報漏洩等の実態やその原因、および、経営への影響などお話します。見学の中で見出した脆弱性などを例に、A社でも、いつ発生してもおかしくないことを理解していただきます。また、ISMS適合性評価制度の仕組みを説明します。
 この部分は、セミナーなどでお話しする内容とほぼ同じです。

 今後、ほぼ、2週間に一回のプロジェクト会議を開催し、9月中の認証取得を目標とすることも確認しました。
(1回目は1月25日に実施しましたので、約8ヶ月間の作業となります。)

 ここから、いよいよ、具体的な作業となります。
 最初の作業として、「ISMS適用範囲」を決定しなければなりません。

続きを読む

Posted by nasihat 20:17:51Comments(0)TrackBack(0)

Pマークか?ISMSか?

2008-02-20

 ISO27001/ISMS構築支援日記でご紹介するお客様(これからは「A社」とします。)の当初のご要望は、「プライバシーマーク付与認定を取得したい。」とのことでした。
 訪問してお話を聞くと「委託元より預った個人情報を加工する過程で、個人情報を適切に管理したい。」とのことでした。
 それならば、「プライバシーマーク」より「ISMS」が適切であること説明させていただき、ISMS認証取得を目指して取り組むことになりました。

 なぜ、A社では、プライバシーマークよりISMSが適切か?

続きを読む

Posted by nasihat 20:34:50Comments(0)TrackBack(0)

ISO27001/ISMS構築支援日記

2008-02-19

 先週の土曜日、ISMS認証取得のお手伝いをさせていただきました会社の二次審査を無事終え、軽微な不適合事項が2点だけという、大変満足度の高いISMSの構築ができました。
 プロジェクトを開始から9ヶ月での認証取得となりそうです。
 審査員の方からも、「これまで審査した中で最高の出来だと思う。」とお褒めのことばも頂きました。
 ご担当くださった方々が真面目に取り組んで下さった成果であり、私としても、ご支援した甲斐がありました。

 ここでは、これまでの経験を踏まえて、私が考えるISMS構築上の要点をご紹介していきたいと思います。

 先月より、あらたな会社でのISMS認証取得の支援を開始しましたが、具体的なお客様に関する情報に触れないことを条件に、ISMS認証取得までの作業をブログで公開することご了解いただきましたので、実際の流れに沿って解説していきたいと思います。

 およそ、十ヶ月の長丁場となりますが、よろしくお願いいたします。

Posted by nasihat 07:59:50Comments(0)TrackBack(0)

2008年 02月 2008年03月>

▲ページの先頭へ

最新記事の表示

最新コメント

最新トラックバック

サイトマップ