1 ISMS適用範囲を定義する
事業・組織・所在地・資産・技術など事業を明確化する。範囲の適用除外があれば理由も明確化する。
2 ISMS基本方針を決める
情報セキュリティの活動方針を原則を目的、事業、契約、法令を考慮して決める。経営陣が承認する。
3 リスクアセスメントの取り組み方法の策定
リスクアセスメント方法とリスクの受容レベルを決める。リスクアセスメントは比較可能で再現可能な方法であれば良い
4 リスクを特定する
情報資産を洗い出し、管理者、脅威、脆弱性、CIAが失われたときどういう結果になるか予想する。
5 リスク分析・評価の実施
セキュリティ障害の4の結果を考慮した事業への影響、実施している管理策を考慮した発生可能性のアセスメントを行い、リスクレベルを算定し、対応が必要か判断する。
6 リスク対応を選択する
リスクの対応選択して決定する。
7 リスク対応のため管理策を選択する
リスク対応として管理策が必要なものは付属書Aから選択して実施する。
8 残留リスクの経営陣による承認
リスク対応の実施後の残留リスクについて経営陣の承認を得る
9 ISMSの導入・運用の経営陣による許可
導入・運用の経営陣による許可を得て運用を開始する
10 適用宣言書の作成
付属書Aの管理策について選択、適用除外を文書化し、その理由も記す
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
2011年7月20日水曜日
ISMS認証とは
ISMS(情報セキュリティマネジメントシステム)の審査機関にる第三者認証制度の認証取得のことを言っていることが多い。ISO27001認証と言われることもある。審査機関の審査に合格してISMS認証を取得するには18項目の要求事項を実現し規格に適合していなければならない。審査で不適合の指摘を受けた場合には是正処置が必要である。その是正処置の対応は審査機関により違いがあるので確認することが重要である。
勉強会による主体的な認証取得には、余裕を持って1年程度は考えていた方が良い。無理に早めると費用が納得できない金額となることも考慮すべきである。早めて見積もりから大幅に費用がオーバーし、そのためトラウマになった企業もあり何のためのISMSを取得するのか目的から考えるべきと思う。今年末から3月までに取得目指すなら、今開始では自社のみ取り組みはすでに遅く、コンサルタントの支援を検討すべきと思う。
勉強会による主体的な認証取得には、余裕を持って1年程度は考えていた方が良い。無理に早めると費用が納得できない金額となることも考慮すべきである。早めて見積もりから大幅に費用がオーバーし、そのためトラウマになった企業もあり何のためのISMSを取得するのか目的から考えるべきと思う。今年末から3月までに取得目指すなら、今開始では自社のみ取り組みはすでに遅く、コンサルタントの支援を検討すべきと思う。
2011年7月18日月曜日
BCP策定
自然災害、人為災害、事故等が発生しても事業を続けていくには、事前に対応を計画し、準備訓練することが必要となる。その計画を事業継続計画と言い、business continuity planの頭文字をとりBCPと略している。
ISMSでもBCPを策定するが、BCP策定が社会的要求になりそうなこともあり先行して策定の勉強会を予定します。「備えあれば憂い無し」ぜひ皆様の積極的なBCP策定に参加してください。ご希望の方はお問い合わせかFAXでご連絡お願いします。
ISMSでもBCPを策定するが、BCP策定が社会的要求になりそうなこともあり先行して策定の勉強会を予定します。「備えあれば憂い無し」ぜひ皆様の積極的なBCP策定に参加してください。ご希望の方はお問い合わせかFAXでご連絡お願いします。
2011年7月14日木曜日
事業継続計画とバックアップ
東日本震災で、事業継続計画の有効性が改めて問われている。地震や津波で情報システムが被害を受けた、パソコンや重要書類やらを津波や火災で全部失った。電力供給不安はどう対処したらよいか。原発事故等で事業所に立ち入れなくなった。勉強会では災害で本当に有効な事業継続計画について皆で考えたい。
また、大災害でも本当に機能するバックアップを検討する必要があるだろう。従来は関東近県にバックアップ拠点を設定していた会社も多いと思うが、事業継続の観点から、遠隔地のバックアップを考えることが必要と思う。その場合、コスト、どのくらいの時間で復旧できるか、ちゃんと機能するか模擬訓練などもすると有効性を確認できると思う。具体的には何を使うか調査し、バックアップする情報洗い出し、バックアップレベル、リカバリ、リストア、システム概要、復旧時間、データセンターサービスの拠点などを比較する。
ISMS認証取得と情報セキュリティ対策
ISMS 認証取得に求められる情報セキュリティ対策はどうするのか?
具体的な方法はたくさんあります。それよりも先にやるのはなにか ?
ISO27001の要求事項にじっくり取り組んでよく見てみましょう。
構築と運用の実際は、レビュー、内部監査はどのようにやるのか。
情報資産、リスク評価、リスク分析、インシデント、ログ、用語について
なぜするのか。ISMSの疑問、認証取得に本当に必要な事項を
みんなで、取り組み2次審査合格を目指す。
ISMS 認証取得勉強会では情報セキュリティ専門家によるミニレクチャーを
交えた自主勉強会を開催いたします。主体的な情報セキュリティキャリア
形成を目指し、実際の認証取得に関心をお持ちの皆様には、ぜひご参加
いただきたくご案内申し上げます。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
具体的な方法はたくさんあります。それよりも先にやるのはなにか ?
ISO27001の要求事項にじっくり取り組んでよく見てみましょう。
構築と運用の実際は、レビュー、内部監査はどのようにやるのか。
情報資産、リスク評価、リスク分析、インシデント、ログ、用語について
なぜするのか。ISMSの疑問、認証取得に本当に必要な事項を
みんなで、取り組み2次審査合格を目指す。
ISMS 認証取得勉強会では情報セキュリティ専門家によるミニレクチャーを
交えた自主勉強会を開催いたします。主体的な情報セキュリティキャリア
形成を目指し、実際の認証取得に関心をお持ちの皆様には、ぜひご参加
いただきたくご案内申し上げます。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
登録:
投稿 (Atom)