ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。(※このコラムはJMCリスクソリューションズ社Webサイトからの一部抜粋です) 株式会社JMCリスクソリューションズ 太田 智明 http://rs.jmc.ne.jp/service/iso27001/27column07.html <ISO27001新米担当者のつぶやき>■どのようなルールを作成すればよいのか みなさんこんにちは、磯です。 リスクアセスメントが無事に終了しました。わが社にも、今まで気にも留めていなかったセキュリティ上のリスクがいろいろと潜んでいることが分り、報告時には経営者も驚いていました。現状を経営者に認識してもらうことができ、早急にリスク対策を実施するように言われたことで、今後、このプロジェクトが推進しやすくなったように感じます。 さて、次はいよいよISO運用マニュアルの作成に入ります。…と勢い付いたものの、何をどうすればいいのか規格本を見てもいまいち理解できません。 リスクアセスメントの対策案では、「文書化されていないので明文化する。」や「○○のルールを作成する。」といった項目も多く出てきました。どのようにルールを作成すればよいのか、また、他に何を作成しなければならないのか…。 またわからなくなってきてしまいました。来週コンサルタントが来るので、その際に相談してみることにします。<ISO27001コンサルタントからのアドバイス>■業務や、会社に合ったルールの作成を心がけて本日は、文書化についてお話しします。【文書の必要性について】 文書(ISO運用マニュアル)を作成する際には、まず本当にその文書が必要かどうかを検討することが重要です。文書の量が必要以上に多いほど、従業員は読まなくなる傾向が強いため、必要最低限の文書量に抑えることも、成功のポイントといえます。必要であるかを判断する際には次のことを考慮しましょう。(1)文書がなくても、定めたルールが遵守されるか(2)必要な人間が必要な手順を実施できるよう標準化されているか(3)文書がなくても、判断ミスやオペレーションミスは起きないか【規格上、文書が必要な範囲について】 規格上で文書の作成を求められているものは主に次のようなものがあります。(1)要求事項4.3.1で求められている適用宣言書、セキュリティ基本方針等(2)要求事項の各項番で要求されている内部監査やマネジメントレビュー等の手順(3)実施したリスクアセスメントの結果で文書化や明文化が必要であるとされたもの【文書の内容の深さについて】 規格上は、特にどこのレベルまでという要求がありません。よって具体的なルールの内容(明文化する内容)はみなさんで決めましょう。 例えばリスクアセスメントの結果で、書類の整理・整頓ができていないための対策としてルールを作成する場合については… 【執筆:太田 智明】 ※このコラムはJMCリスクソリューションズ社Webサイトからの一部抜粋です。 コラムの全文は、同社下記情報サイトから利用可能です。 http://rs.jmc.ne.jp/service/iso27001/27column07.html
