pagetop

>このブログのトップ

MENU

  April/2008  

S M T W T F S
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30      

月別アーカイブ

blog内検索

カテゴリー表示

前の記事   次の記事

ISMS適用範囲の決定

2008-02-22

<前回からの続きです>
 前回訪問時に、即決していただいたことから、早々に、ISMS認証取得に向けたプロジェクトを始動することとなり、第1回プロジェクト会議を開催しました。

 まずは、会社内を一通り巡回して、情報資産の存在やその扱いなどについて伺います。前回の訪問時に、一応は見学させていただき、およそは分かっていますが、ここでは、ロッカーや書棚の保管資料、パソコン内の情報、ネットワーク構成など詳細に確認させていただきます。また、屋外からも不正な侵入の可能性の確認、入退館の現状なども伺います。

 続いて、講義として、情報セキュリティの必要性など、情報漏洩等の実態やその原因、および、経営への影響などお話します。見学の中で見出した脆弱性などを例に、A社でも、いつ発生してもおかしくないことを理解していただきます。また、ISMS適合性評価制度の仕組みを説明します。
 この部分は、セミナーなどでお話しする内容とほぼ同じです。

 今後、ほぼ、2週間に一回のプロジェクト会議を開催し、9月中の認証取得を目標とすることも確認しました。
(1回目は1月25日に実施しましたので、約8ヶ月間の作業となります。)

 ここから、いよいよ、具体的な作業となります。
 最初の作業として、「ISMS適用範囲」を決定しなければなりません。
<ISMS適用範囲の決定>
 ISMS適用規格である、JIS Q 27001の要求事項には「事業・組織・所在地・資産・技術の特徴の見地から、ISMSの適用範囲及び境界を定義する。」とあります。
 具体的には、次の観点から、それぞれの領域/境界を決定します。

1、事業的領域:対象業務を明確にする
 業務内容、情報活用の範囲などで領域を決めます。
 登録時の登録範囲として公開されます。

2、組織的領域:対象組織を明確にする
 一般に事業的領域に連動して部門名などで領域を決めます。
 適用範囲の従業員数は、審査費用にも影響します。

3、物理的領域:対象とする住所や施設、部屋などを明確にする
 建物、部屋、あるいは、扉などの境界で区分して領域を決めます。

4、ネットワーク的領域:対象範囲となるネットワークの範囲を明確にする
 ルーター等のネットワーク上の情報を流入出を制御可能な機器を境界として領域を決めます。

5、情報資産の管理領域:管理すべき情報資産の所在等を明確にする。

 これらを、サンプル文書を参考に「適用範囲定義書」として作成していただきます。
 A社の場合は、事業的にもネットワーク的にも分割が困難であり、全社を対象としました。

 昨年ご支援した会社では、事業の特性から特定部門のみを対象することが望ましいと判断しましたが、物理的領域区分、社内ネットワー的領域区分が不明瞭となるため、当該部門への出入り口に施錠付きドアを設置し、また、社内ネットワークとの分離を行いました。
 これにより、マネジメントシステムがコンパクトとなり、また、ISMSの申請に係る費用が大幅に削減できました。

Posted by nasihat 20:17:51 │Comments(0)TrackBack(0)

この記事へのトラックバックURL

この記事へのコメント

名前
メール
URL
コメント

▲ページの先頭へ

最新記事の表示

最新コメント

最新トラックバック

サイトマップ

読者登録

現在の読者数 0 人

メールアドレス