wikipediaにISMSを調べる。すると検索では「情報セキュリティマネジメントシステム」、つぎに「ISO/IEC 27000 シリーズ
」、「ISO/IEC 27002」と続いて「ISO27001」は上位にはない。「ISMS」は「情報セキュリティマネジメントシステム」と内容は同じである。
2011年6月22日水曜日
2011年6月16日木曜日
ISO審査員-選ぶことができます。
ISOの審査員は、Pマークの審査員と違い、審査機関と同様に選ぶことができる。要求事項は規格だが、審査員により解釈が違うことがある。一度審査員が決まると3年間は同じ審査員が担当することが多く、会社にとって一番よい、審査員を選ぶことが成長戦略上重要である。そのためには審査員に会ってじっくり話を聞いて決めることがよいだろう。
ISMS認証基準とは
ISMS認証基準は、第三者である審査機関が、審査を受ける企業のISMSの適合性を評価するための基準である。JIPDECによりISMS認証基準V1.0,v2.0があったが、2007.11にJISQ27001へ移行で廃止となり、現在のISMSの認証基準は、JIS Q 27001:2006(ISO/IEC 27001:2005)がISMS認証基準となっている。
ISO27001、ISO27002は定期的に見直し改定があり、2012年か2013年に改定されるという話がある。
ISO27001、ISO27002は定期的に見直し改定があり、2012年か2013年に改定されるという話がある。
ISO27001とISMS
27001 はISOの情報セキュリティマネジメントシステムの国際規格であり、同じことである。
2005年に改定されたので、「ISO/IEC27001:2005」と2005がついている。
IECは国際標準化機構 (ISO) と 国際電気標準会議 (IEC) が共同で作ったのでIECとなっている。
日本では日本工業規格として2006年に翻訳されJIS規格となったので「JISQ27001:2006」となっている。
2005年に改定されたので、「ISO/IEC27001:2005」と2005がついている。
IECは国際標準化機構 (ISO) と 国際電気標準会議 (IEC) が共同で作ったのでIECとなっている。
日本では日本工業規格として2006年に翻訳されJIS規格となったので「JISQ27001:2006」となっている。
ISO セキュリティの規格ISO27001とISO27002
ISO27001はISMSを導入・運用するための規格化された要求事項と付属書Aの管理策で構成される。リスク対応のための,管理目的及び管理策を附属書Aの中から選択しなければならない。付属書AはISO27002の5から15までの目的と管理策をそっくり抜き出したものである。管理策の選択と実施の詳細の参考となる。
ISMS 一般要求事項
ISMS 一般要求事項、すなわち ISMS 要求事項 (ISO 27001 要求事項) のことである。
規格ISO27001の要求事項を表している。認証を取得する適用範囲の組織や会社は、その全体の活動の中でリスクについて文書化してISMSを確立して、導入,運用,監視,レビュー,維持、改善しなければならない。それにはPDCAモデルを導入する。
PDCAに関したISMS 要求事項を俯瞰して見る。
P(Plan:計画)4.2.1 ISMSの確立運営
ISMS基本方針、適用範囲、適用宣言書、リスクアセスメント、リスク対応計画、その際に経営陣の責任として 5.1経営陣のコミットメント 5.2経営資源の提供がある。
D(Do:実行)4.2.2リスク対応計画の実行・管理策の実施、ISMSの教育・訓練の実施(5.2.2参照)
C(Check:点検)4.2.3ISMSのモニタリングとレビュー、定期的レビュー:マネジメントレビュ-、ISMS有効性のレビュー(ISMS 基本方針と目的のレビューとセキュリティ管理策のレビュー)定められた間隔で実施: リスクアセスメント、有効性測定、内部監査
A(Act:改善実行)4.24維持及び改善、モニタリングとレビューの結果を受けて維持改善を実施する。是正処置、予防処置を実施する。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
規格ISO27001の要求事項を表している。認証を取得する適用範囲の組織や会社は、その全体の活動の中でリスクについて文書化してISMSを確立して、導入,運用,監視,レビュー,維持、改善しなければならない。それにはPDCAモデルを導入する。
PDCAに関したISMS 要求事項を俯瞰して見る。
P(Plan:計画)4.2.1 ISMSの確立運営
ISMS基本方針、適用範囲、適用宣言書、リスクアセスメント、リスク対応計画、その際に経営陣の責任として 5.1経営陣のコミットメント 5.2経営資源の提供がある。
D(Do:実行)4.2.2リスク対応計画の実行・管理策の実施、ISMSの教育・訓練の実施(5.2.2参照)
C(Check:点検)4.2.3ISMSのモニタリングとレビュー、定期的レビュー:マネジメントレビュ-、ISMS有効性のレビュー(ISMS 基本方針と目的のレビューとセキュリティ管理策のレビュー)定められた間隔で実施: リスクアセスメント、有効性測定、内部監査
A(Act:改善実行)4.24維持及び改善、モニタリングとレビューの結果を受けて維持改善を実施する。是正処置、予防処置を実施する。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
2011年6月14日火曜日
ISMS認証取得の流れ-プロジェクト発足から合格
ISMS(ISO27001)認証取得のプロジェクト発足から審査に合格して認証を取得する
流れは次のようになります。
”・”はその作業のアウトプットとなる文書です。文書には要求事項がある
ので漏れないようにチェックしながら作りましょう。
ここには書いてありませんが費用や予算、人員など経営上の資源割り当
ては当然です。(ISO27001の規格の中にもあります。)
1ISMS(ISO27001)社内学習計画
2ISMS 認証取得プロジェクト発足
ISMS 認証取得プロジェクト体制
スケジュール策定
範囲の決定
・組織図
・ISMS体制図
・認証取得スケジュール
・レイアウト図
・ISMS範囲図
・ネットワーク図
・ステークホルダー表
3リスクアセスメント
情報資産の洗い出し
情報資産のグループ化
リスク評価
リスクアセスメントを実施
リスク対応計画策定
・情報資産台帳
・リスクアセスメント結果報告書
・リスク対応計画
・適用宣言書
4 規定・手順書策定
・各規定
5 審査機関選定
6 導入許可のマネジメントレビュー
・マネジメントレビュー議事録
7 導入と運用開始
8 ISMS教育の実施
9 内部監査
・内部監査報告書
・有効性測定結果
10 マネジメントレビュー
・マネジメントレビュー議事録
11 1次審査
12 審査指摘事項対応
13 2次審査
14 審査指摘事項対応
15 合格して認証取得
16 次年度ISMSスケジュール策定
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
流れは次のようになります。
”・”はその作業のアウトプットとなる文書です。文書には要求事項がある
ので漏れないようにチェックしながら作りましょう。
ここには書いてありませんが費用や予算、人員など経営上の資源割り当
ては当然です。(ISO27001の規格の中にもあります。)
1ISMS(ISO27001)社内学習計画
2ISMS 認証取得プロジェクト発足
ISMS 認証取得プロジェクト体制
スケジュール策定
範囲の決定
・組織図
・ISMS体制図
・認証取得スケジュール
・レイアウト図
・ISMS範囲図
・ネットワーク図
・ステークホルダー表
3リスクアセスメント
情報資産の洗い出し
情報資産のグループ化
リスク評価
リスクアセスメントを実施
リスク対応計画策定
・情報資産台帳
・リスクアセスメント結果報告書
・リスク対応計画
・適用宣言書
4 規定・手順書策定
・各規定
5 審査機関選定
6 導入許可のマネジメントレビュー
・マネジメントレビュー議事録
7 導入と運用開始
8 ISMS教育の実施
9 内部監査
・内部監査報告書
・有効性測定結果
10 マネジメントレビュー
・マネジメントレビュー議事録
11 1次審査
12 審査指摘事項対応
13 2次審査
14 審査指摘事項対応
15 合格して認証取得
16 次年度ISMSスケジュール策定
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
情報セキュリティ担当者がいない
ISMS認証は取得したいが、情報セキュリティ担当者がいない。
それでも取得できるのか。今すぐ、社長さんが中心になって
情報セキュリティ役員と情報セキュリティ担当者を決めてくださ
い。そこから出発です。もちろん情報セキュリティ役員は社長さん
がされてもOKです。もし人数が少ないなら、3人しかいない会社
でもISMS認証を取得している会社があります。1人は自分で
自分を監査することになり要求事項を満たすことができないので
認証取得できません。もう少しがんばって社員を増やしてください。
そこが出発点です。費用は審査機関によって違います。少ない
と費用も少なくなりますが下限があります。その辺も一緒に勉強
しましょう。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
それでも取得できるのか。今すぐ、社長さんが中心になって
情報セキュリティ役員と情報セキュリティ担当者を決めてくださ
い。そこから出発です。もちろん情報セキュリティ役員は社長さん
がされてもOKです。もし人数が少ないなら、3人しかいない会社
でもISMS認証を取得している会社があります。1人は自分で
自分を監査することになり要求事項を満たすことができないので
認証取得できません。もう少しがんばって社員を増やしてください。
そこが出発点です。費用は審査機関によって違います。少ない
と費用も少なくなりますが下限があります。その辺も一緒に勉強
しましょう。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
2011年6月13日月曜日
2011年度ISMS認証取得勉強会会員登録受付中
ISMS認証取得勉強会では、何があっても主体的に自分たちでISMS審査に合格し認証取得を達成するんだという意欲ある企業の経営者と担当者の会員を募集 しております。プロジェクトの進み具合を見て実際に審査を受けていただきます。今年度は会員は100名限定とします。社内勉強も含めて取り組まれることをお勧めいたします。会員企業の勉強会参加枠は2名なので例 えば取り組みに4人メンバーがおられて、内部監査の時は別のお2人のように参加されることも自由です。その場合情報を共有されることをよろしくお願いします。
登録:
投稿 (Atom)