ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第7回 ISO運用マニュアルを作るぞ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第7回 ISO運用マニュアルを作るぞ

特集 特集

 ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。
物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクソリューションズ社Webサイトからの一部抜粋です)

 株式会社JMCリスクソリューションズ
太田 智明
  http://rs.jmc.ne.jp/service/iso27001/27column07.html

<ISO27001新米担当者のつぶやき>

■どのようなルールを作成すればよいのか

 みなさんこんにちは、磯です。

 リスクアセスメントが無事に終了しました。わが社にも、今まで気にも留めていなかったセキュリティ上のリスクがいろいろと潜んでいることが分り、報告時には経営者も驚いていました。現状を経営者に認識してもらうことができ、早急にリスク対策を実施するように言われたことで、今後、このプロジェクトが推進しやすくなったように感じます。

 さて、次はいよいよISO運用マニュアルの作成に入ります。…と勢い付いたものの、何をどうすればいいのか規格本を見てもいまいち理解できません。

 リスクアセスメントの対策案では、「文書化されていないので明文化する。」や「○○のルールを作成する。」といった項目も多く出てきました。どのようにルールを作成すればよいのか、また、他に何を作成しなければならないのか…。

 またわからなくなってきてしまいました。来週コンサルタントが来るので、その際に相談してみることにします。

<ISO27001コンサルタントからのアドバイス>

■業務や、会社に合ったルールの作成を心がけて

本日は、文書化についてお話しします。

【文書の必要性について】

 文書(ISO運用マニュアル)を作成する際には、まず本当にその文書が必要かどうかを検討することが重要です。文書の量が必要以上に多いほど、従業員は読まなくなる傾向が強いため、必要最低限の文書量に抑えることも、成功のポイントといえます。必要であるかを判断する際には次のことを考慮しましょう。

(1)文書がなくても、定めたルールが遵守されるか
(2)必要な人間が必要な手順を実施できるよう標準化されているか
(3)文書がなくても、判断ミスやオペレーションミスは起きないか

【規格上、文書が必要な範囲について】

 規格上で文書の作成を求められているものは主に次のようなものがあります。

(1)要求事項4.3.1で求められている適用宣言書、セキュリティ基本方針等
(2)要求事項の各項番で要求されている内部監査やマネジメントレビュー等の手順
(3)実施したリスクアセスメントの結果で文書化や明文化が必要であるとされたもの

【文書の内容の深さについて】

 規格上は、特にどこのレベルまでという要求がありません。よって具体的なルールの内容(明文化する内容)はみなさんで決めましょう。

 例えばリスクアセスメントの結果で、書類の整理・整頓ができていないための対策としてルールを作成する場合については…

【執筆:太田 智明】

 ※このコラムはJMCリスクソリューションズ社Webサイトからの一部抜粋です。
  コラムの全文は、同社下記情報サイトから利用可能です。
   http://rs.jmc.ne.jp/service/iso27001/27column07.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×