ご存じですか? ISMS規格改訂の背景と意図:みならい君のISMS改訂対応物語(1)(1/2 ページ) 情報セキュリティマネジメントシステム(ISMS)評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この新規格に対応する際のポイントとは何でしょう? とある会社のISMS推進チームメンバー、「みならい君」と一緒に学んでみましょう。 情報セキュリティマネジメントシステム(ISMS)の評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この物語は、ISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMSの仕組みをその新規格(ISO/IEC27001:2013)へ対応させる作業を行っていく過程を描くものです。 読者の皆さまには、この連載を通じて、改訂版規格であるIS
規格書4.3.1以降はISMSを文書化するにあたっての規格要求事項になっている。 ISMS基本方針に始まって、自分たちがISMSを取得する上で必要になってくるさまざまな文書のリストや、 それらを管理するにはどのようなことに気をつけなければならないのかが書かれている。 ISMSを文書化するのに、よくいわれるのが「文書の階層化」だ。 センターで採った方法もこれにあたるので、私はよくよく考えもせずに受け入れていたけれど、規格書には特に「文書の階層化」という言葉は出てこない。 なので、こういうやり方が一般的なのだ、という位のつもりで紹介したいと思う。 ISMSを文書にまとめる際には、上位文書と下位文書とに分けることを念頭に置く。 上位文書とは、より大きな概念(基本方針)や、マニュアル(自分たちで作る自分たちのためのISMSマニュアル)など、大まかに全体像を示す文書のこと。これに対し、下位文書とは、
よい質問だね! 気を付けなければならないことは、ISO/IEC27001:2013では、「目的」という用語を、2つの原文(英語)でこの言葉を用いているんだよ、一つは、「Purpose」で、「4.1 組織およびその状況の理解」と「5.2 方針(a)」で出てくる「組織の目的(Purpose)」が、それに当たるね。もう一つは、「Objective」で、「5.1 リーダーシップおよびコミットメント(a)」「5.2 方針(b)」「6.2 情報セキュリティ目的およびそれを達成するための計画策定」「8.1 運用の計画および管理」と「9.3 マネジメントレビュー」に出てくる、「情報セキュリティ目的(Objective)」だよ。 みならい君! ISO/IEC27000:2013の定義2.56では、「目的(Objective)」とは、「達成する結果であり、同じような意味を持つ別の言葉である、狙い(Aim)、到
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く