1 ISMS適用範囲を定義する
事業・組織・所在地・資産・技術など事業を明確化する。範囲の適用除外があれば理由も明確化する。
2 ISMS基本方針を決める
情報セキュリティの活動方針を原則を目的、事業、契約、法令を考慮して決める。経営陣が承認する。
3 リスクアセスメントの取り組み方法の策定
リスクアセスメント方法とリスクの受容レベルを決める。リスクアセスメントは比較可能で再現可能な方法であれば良い
4 リスクを特定する
情報資産を洗い出し、管理者、脅威、脆弱性、CIAが失われたときどういう結果になるか予想する。
5 リスク分析・評価の実施
セキュリティ障害の4の結果を考慮した事業への影響、実施している管理策を考慮した発生可能性のアセスメントを行い、リスクレベルを算定し、対応が必要か判断する。
6 リスク対応を選択する
リスクの対応選択して決定する。
7 リスク対応のため管理策を選択する
リスク対応として管理策が必要なものは付属書Aから選択して実施する。
8 残留リスクの経営陣による承認
リスク対応の実施後の残留リスクについて経営陣の承認を得る
9 ISMSの導入・運用の経営陣による許可
導入・運用の経営陣による許可を得て運用を開始する
10 適用宣言書の作成
付属書Aの管理策について選択、適用除外を文書化し、その理由も記す
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
