予防処置とは,ISMSの要求事項に対する不適合の発生を防止するために,起こり得る不適合の原因を除去する処置のことで次ぎの文書化要求事項がある。
1 起こり得る不適合及びその原因の特定
2 不適合の発生を予防するための処置の必要性の評価
3 必要な予防処置の決定及び実施
4 とった処置の結果の記録
5 とった予防処置のレビュー
また、大きく変化したリスクに対して,予防処置についての要求事項を特定し、予防処置の優先順位は,リスクアセスメントの結果に基づいて決定する。
2011年8月24日水曜日
是正処置
是正処置とはISMS の要求事項に対する不適合の原因を除去する処置を,その再発防止のためにすること次の文書化要求事項がある。
1 不適合の特定
2 不適合の原因の決定
3 不適合の再発防止を確実にするための処置の必要性の評価
4 必要な是正処置の決定及び実施
5 処置の結果の記録
6 是正処置のレビュー
1 不適合の特定
2 不適合の原因の決定
3 不適合の再発防止を確実にするための処置の必要性の評価
4 必要な是正処置の決定及び実施
5 処置の結果の記録
6 是正処置のレビュー
レビューからのアウトプット
マネジメントレビューからのアウトプット
1 ISMS有効性の改善
2 リスクアセスメントとリスク対応計画更新
3 ISMSに影響を与える次のものが含まれる内外の変化に対応するためのISMS手順及び管理策の修正
①事業上の要求事項
② セキュリティ要求事項
③ 現在の事業上の要求事項を実現する業務プロセス
④ 法令又は規制の要求事項
⑤ 契約上の義務
⑥ リスクのレベル及び/又はリスク受容基準
4 必要となる経営資源
5 管理策の有効性測定方法の改善
1 ISMS有効性の改善
2 リスクアセスメントとリスク対応計画更新
3 ISMSに影響を与える次のものが含まれる内外の変化に対応するためのISMS手順及び管理策の修正
①事業上の要求事項
② セキュリティ要求事項
③ 現在の事業上の要求事項を実現する業務プロセス
④ 法令又は規制の要求事項
⑤ 契約上の義務
⑥ リスクのレベル及び/又はリスク受容基準
4 必要となる経営資源
5 管理策の有効性測定方法の改善
レビューへのインプット
マネジメントレビューのインプット項目
1 ISMS内部監査及びレビューの結果
2 ステークホルダーからのフィードバック
3 ISMSのパフォーマンス及び有効性を改善のために組織の中で利用可能な技術,製品又は手順
4 予防処置及び是正処置の状況
5 前回までのリスクアセスメントが十分に取り上げていなかったぜい弱性又は脅威
6 有効性測定の結果
7 前回までのマネジメントレビューの結果に対するフォローアップ
8 ISMS に影響を及ぼす可能性がある,あらゆる変化
9 改善のための提案
1 ISMS内部監査及びレビューの結果
2 ステークホルダーからのフィードバック
3 ISMSのパフォーマンス及び有効性を改善のために組織の中で利用可能な技術,製品又は手順
4 予防処置及び是正処置の状況
5 前回までのリスクアセスメントが十分に取り上げていなかったぜい弱性又は脅威
6 有効性測定の結果
7 前回までのマネジメントレビューの結果に対するフォローアップ
8 ISMS に影響を及ぼす可能性がある,あらゆる変化
9 改善のための提案
ISMSマネジメントレビュー 一般
1 ISMSマネジメントレビューは定められた間隔(少なくとも年1 回)で実施
2 レビューの結果は記録
3 情報セキュリティ基本方針及び目的、ISMS改善の機会及び変更の必要性
2 レビューの結果は記録
3 情報セキュリティ基本方針及び目的、ISMS改善の機会及び変更の必要性
ISMS内部監査
ISMS内部監査は定められた間隔で実施することが要求事項となっている。
1 この規格の要求事項に適合しているか。
2 関連する法規範を守っているか。
3 ISMSが有効に実施され,維持されているか。
4 期待どおりに実施されているか。
5 内部監査の基準,範囲,頻度及び方法の定義,監査員の選定,監査の計画・実施に関する責任及び要求事項,並びに結果報告に関する責任及び要求事項の定義の手順の文書化
6 前回までの監査結果の考慮
7 監査員は,自らの仕事を監査してはならない。
8 内部監査で不適合が出たらその部署の管理者は不適合及びその原因を除去するために遅滞なく処置をしなければならない。
9 不適合に対するフォローアップには,とった処置の検証及び検証結果の報告を含めなければならない。
10 内部監査の結果の記録
1 この規格の要求事項に適合しているか。
2 関連する法規範を守っているか。
3 ISMSが有効に実施され,維持されているか。
4 期待どおりに実施されているか。
5 内部監査の基準,範囲,頻度及び方法の定義,監査員の選定,監査の計画・実施に関する責任及び要求事項,並びに結果報告に関する責任及び要求事項の定義の手順の文書化
6 前回までの監査結果の考慮
7 監査員は,自らの仕事を監査してはならない。
8 内部監査で不適合が出たらその部署の管理者は不適合及びその原因を除去するために遅滞なく処置をしなければならない。
9 不適合に対するフォローアップには,とった処置の検証及び検証結果の報告を含めなければならない。
10 内部監査の結果の記録
教育、訓練、意識向上及び力量
力量とは能力と同じと考えてよい。
1 ISMSに影響がある業務に従事する要員に必要な力量を決める。
2 有効な力量を持つように教育・訓練を実施するか,必要な力量を持つ要員の採用をする。
3 教育・訓練の有効性を評価する。
4 教育,訓練,技能,経験及び資格についての記録
1 ISMSに影響がある業務に従事する要員に必要な力量を決める。
2 有効な力量を持つように教育・訓練を実施するか,必要な力量を持つ要員の採用をする。
3 教育・訓練の有効性を評価する。
4 教育,訓練,技能,経験及び資格についての記録
経営資源の提供
ISMSに必要な経営資源を決定し,提供しなければならない。経営資源とは言うまでもなくひと、もの、かねである。要求事項として項目はあるが他の要求事項と重なりあっているので特に記するものはない。
経営陣のコミットメント
経営陣のコミットメントの証拠として次のものが要求事項になっている。
1 ISMS基本方針の確立
2 ISMSの目的設定及び計画の確立
3 情報セキュリティの役割及び責任の確立
4 組織への周知項目
情報セキュリティ目的達成の重要性
情報セキュリティ基本方針に適合の重要性
法規範のもとでの責任
継続的改善の必要性
5 経営資源の提供
6 リスク受容基準及びリスクの受容可能レベルの決定
7 内部監査の実施
8 マネジメントレビューの実施
1 ISMS基本方針の確立
2 ISMSの目的設定及び計画の確立
3 情報セキュリティの役割及び責任の確立
4 組織への周知項目
情報セキュリティ目的達成の重要性
情報セキュリティ基本方針に適合の重要性
法規範のもとでの責任
継続的改善の必要性
5 経営資源の提供
6 リスク受容基準及びリスクの受容可能レベルの決定
7 内部監査の実施
8 マネジメントレビューの実施
記録の管理
記録の管理として要求事項にあるものは次のものである。
1 ISMS の有効性又はパフォーマンスに影響を及ぼす可能性のある活動及び事象の記録
例として,来訪者記録帳,監査報告書,記入済みのアクセス認可の書式
2 教育,訓練,技能,経験及び資格についての記録
3 内部監査の記録
4 マネジメントレビューの結果の記録
5 是正処置の結果の記録
6 予防処置の結果の記録
1 ISMS の有効性又はパフォーマンスに影響を及ぼす可能性のある活動及び事象の記録
例として,来訪者記録帳,監査報告書,記入済みのアクセス認可の書式
2 教育,訓練,技能,経験及び資格についての記録
3 内部監査の記録
4 マネジメントレビューの結果の記録
5 是正処置の結果の記録
6 予防処置の結果の記録
文書管理
1 文書の発行前承認
2 文書を見直し更新あれば再承認
3 文書の改変と改版状況の特定
4 必要なとき,適用する文書の版が使用可能であること
5 読みやすく識別可能であること
6 文書管理手順に従った分類区分の受渡し,保管,処分
7 外部文書の識別
8 文書配付の管理
9 廃止文書の誤使用防止と管理
10 文書管理手順書の作成
2 文書を見直し更新あれば再承認
3 文書の改変と改版状況の特定
4 必要なとき,適用する文書の版が使用可能であること
5 読みやすく識別可能であること
6 文書管理手順に従った分類区分の受渡し,保管,処分
7 外部文書の識別
8 文書配付の管理
9 廃止文書の誤使用防止と管理
10 文書管理手順書の作成
文書化に関する要求事項 一般
ISMS 文書には次の文書の要求事項がある。
1 ISMS 基本方針及び目的
2 ISMS の適用範囲
3 手順
4 管理策
5 リスクアセスメントの方法
6 リスクアセスメント報告
7 リスク対応計画
8 組織が必要とする文書化した手順
9 管理策の有効性測定
10 この規格が要求する記録
11 適用宣言書
1 ISMS 基本方針及び目的
2 ISMS の適用範囲
3 手順
4 管理策
5 リスクアセスメントの方法
6 リスクアセスメント報告
7 リスク対応計画
8 組織が必要とする文書化した手順
9 管理策の有効性測定
10 この規格が要求する記録
11 適用宣言書
ISMSの維持及び改善
1 ISMSの継続的に改善策を導入する。
2 是正処置及び予防処置、自他の組織の経験から学んだ教訓を活用する。
3 ステークホルダーへの処置及び改善策の伝達と合意
4 改善策の目的の達成
2 是正処置及び予防処置、自他の組織の経験から学んだ教訓を活用する。
3 ステークホルダーへの処置及び改善策の伝達と合意
4 改善策の目的の達成
ISMSの監視及びレビュー
1 ISMSの監視およびレビュ-の目的
①処理結果の誤り検出
②セキュリテイ違反、ルール違反の特定
③セキュリティ活動の経営陣への報告
④セキュリティ事象の検知とその結果からセキュリティインシデントを防止
⑤セキュリティ違反の処置とその有効性判断
2 ISMSの有効性の定期的レビューの実施と項目
①ISMS基本方針と目的
②セキュリティ管理策
③内部監査の結果
④インシデント報告
⑤有効性測定の結果
⑥提案
⑦ステークホルダーからのフィードバック
3 管理策の有効性測定
4 リスクアセスメントの定期的間隔での実施と項目
①残留リスク
②リスク受容可能レベル
③次の変化を考慮する-組織、技術、事業の目的及びプロセス、特定した脅威、管理策の有効性、法規範、契約上の義務、社会的変化
5 内部監査を定期的間隔で実施
6 マネジメントレビューの定期的実施
7 セキュリティ計画の更新
他の要求事項項目と重なるものもあり、重なるものは他を満たすと要求事項はクリアできる。
①処理結果の誤り検出
②セキュリテイ違反、ルール違反の特定
③セキュリティ活動の経営陣への報告
④セキュリティ事象の検知とその結果からセキュリティインシデントを防止
⑤セキュリティ違反の処置とその有効性判断
2 ISMSの有効性の定期的レビューの実施と項目
①ISMS基本方針と目的
②セキュリティ管理策
③内部監査の結果
④インシデント報告
⑤有効性測定の結果
⑥提案
⑦ステークホルダーからのフィードバック
3 管理策の有効性測定
4 リスクアセスメントの定期的間隔での実施と項目
①残留リスク
②リスク受容可能レベル
③次の変化を考慮する-組織、技術、事業の目的及びプロセス、特定した脅威、管理策の有効性、法規範、契約上の義務、社会的変化
5 内部監査を定期的間隔で実施
6 マネジメントレビューの定期的実施
7 セキュリティ計画の更新
他の要求事項項目と重なるものもあり、重なるものは他を満たすと要求事項はクリアできる。
ISMSの導入および運用
1 リスク対応計画を策定する。経営陣の適切な活動,経営資源,必要資金,役割責任体制,優先順位を特定し「誰が」「何を」「いつまでに」実現していくかを明確しリスク対応計画を実施する。
2 適用宣言書で選択した管理策を実施する。
3 管理策の有効性測定とその測定の利用を規定する文書を作成する。測定は比較可能で再現可能であること。
4 情報セキュリティ教育・訓練を実施する。
5 ISMSの運用を管理する。
6 情報セキュリティ事象の検知
7 セキュリティインシデントに対応する手順を実施する。
2 適用宣言書で選択した管理策を実施する。
3 管理策の有効性測定とその測定の利用を規定する文書を作成する。測定は比較可能で再現可能であること。
4 情報セキュリティ教育・訓練を実施する。
5 ISMSの運用を管理する。
6 情報セキュリティ事象の検知
7 セキュリティインシデントに対応する手順を実施する。
ISMS ロゴについて
ISMSを認証取得すると名刺、ホームページ、会社案内などにロゴを使用することができる。ISMSを取得している企業はロゴを掲載することにより、情報セキュリティの取り組みの信頼性をアピールし競合他社との差別化を計ることができる。名刺をISMSのロゴマークを見ると、情報セキュリティの安全・安心の印象を持ち、会社自体しっかりした会社であるとのイメージを持たれることが多いようです。大企業においても自主取得できないところがありひとつのステータスシンボルとしての意味もあります。ちなみにJIPDECのISMSロゴマークは、情報セキュリティは人によって守られることをイメージしているそうです。
2011年8月22日月曜日
ISO27001、ISO20000の違い
ISO27001はISMS(情報セキュリティマネジメントシステム)の規格であり、対象は情報資産であり、適用範囲は全社、部門、場所など任意、本文の要求事項と付属書Aの133の管理策で構成される。
ISO20000-1はITSMS(ITサービスマネジメントシステム)の規格であり、対象はITサービスであり、適用範囲はITサービスを提供する組織または提供部門である。次の13のプロセスを規定している
ーサービス提供プロセスー
・サービスレベル管理プロセス
・サービスの報告プロセス
・サービス継続及び可用性の管理プロセス
・サービスの予算業務及び会計業務プロセス
・容量/能力管理プロセス
・情報セキュリティ管理プロセス
-関係プロセス-
・顧客関係管理プロセス
・供給者管理プロセス
ー解決プロセスー
・インシデント管理プロセス
・問題管理プロセス
-統合的制御プロセス-
・構成管理プロセス
・変更管理プロセス
-リリースプロセス-
・リリース管理プロセス
また必要に応じてITIL等のベストプラクティスを導入する。文書化については方針・計画、SLA、この規格が要求するプロセスおよび手順、この規格が要求する記録となっており、ITサービスに関した内容となっている。詳しくは規格書およびJIPDECの資料にあたると良い。
ISO20000-1はITSMS(ITサービスマネジメントシステム)の規格であり、対象はITサービスであり、適用範囲はITサービスを提供する組織または提供部門である。次の13のプロセスを規定している
ーサービス提供プロセスー
・サービスレベル管理プロセス
・サービスの報告プロセス
・サービス継続及び可用性の管理プロセス
・サービスの予算業務及び会計業務プロセス
・容量/能力管理プロセス
・情報セキュリティ管理プロセス
-関係プロセス-
・顧客関係管理プロセス
・供給者管理プロセス
ー解決プロセスー
・インシデント管理プロセス
・問題管理プロセス
-統合的制御プロセス-
・構成管理プロセス
・変更管理プロセス
-リリースプロセス-
・リリース管理プロセス
また必要に応じてITIL等のベストプラクティスを導入する。文書化については方針・計画、SLA、この規格が要求するプロセスおよび手順、この規格が要求する記録となっており、ITサービスに関した内容となっている。詳しくは規格書およびJIPDECの資料にあたると良い。
2011年8月4日木曜日
よく見かけるISO、QMS ISO9001,EMS ISO14000, ITIL ISO2000, ISO22000
ISO27001とともに、審査機関や専門家のホームページで見かけるISOがある。
ISO9001 QMS(Quality Management System)品質マネジメントシステムのことで、製品、サービスの品質管理のマネジメントシステム規格である。
ISO14001 EMS(Environmental Management System)環境マネジメントシステムのことで、組織活動が環境に及ぼす影響を最小限にくい止めることを目的に定められたマネジメントシステム規格である。
ISO20000 ITSMS(Information Technology Service Management System)ITサービスを提供する組織のITサービスマネジメントシステムの規格である。
ISO22000 FSMS(Food Safety Management System) 食品安全マネジメントシステムの規格である。
ISO9001 QMS(Quality Management System)品質マネジメントシステムのことで、製品、サービスの品質管理のマネジメントシステム規格である。
ISO14001 EMS(Environmental Management System)環境マネジメントシステムのことで、組織活動が環境に及ぼす影響を最小限にくい止めることを目的に定められたマネジメントシステム規格である。
ISO20000 ITSMS(Information Technology Service Management System)ITサービスを提供する組織のITサービスマネジメントシステムの規格である。
ISO22000 FSMS(Food Safety Management System) 食品安全マネジメントシステムの規格である。
登録:
投稿 (Atom)