ISMSの概要
ISMS適合性評価制度は、財団法人日本情報処理開発協会(JIPDEC)により推進されておりますが、ISMSの認証は、中立・公正な審査登録機関という第三者機関により認証審査を受ける必要があります。ここで、審査登録機関は、JIPDECの審査、評価を受けて認定を受ける仕組みとなっており、審査員を養成する審査研修機関及び審査員はも同様に認定登録されます。
そして、ISMSの認証取得を希望する事業者は、みずから構築・運用している情報セキュリティマネジメントシステムが、ISMS認証基準に適合していることを審査登録機関に所属する審査員による認証審査で確認してもらい、認証登録することになります。
ISMS構築の流れ
ISMS構築の流れは、簡単に述べると、次のようになります。。
- 情報セキュリティ基本方針
「情報セキュリティ基本方針」は、経営者が、“情報セキュリティに対して会社が本格的に取り組む”という基本方針を宣言するものであり、全従業員に周知すること。重要性はとても高いです。
- 適用範囲の決定
ISMSを適用する対象範囲をどこまでにするかといった範囲を決定します。対象範囲は、各組織にもよります。
- リスクアセスメント、リスクマネジメント
情報資産のリスク分析を行い、管理策を選択し、その結果は経営者の承認が要求されます。
- 適用宣言
選択された管理目的および管理策、それらを選択した理由を文書に示します。
- ISMS関連事項の審議・決定
ISMSの構築・運用に関する関連事項について、課題に対する審議を行い、対策を決定します。
- ISMS実施状況の評価・見直し・改善
情報セキュリティポリシーの実施状況を評価し、定期的な見直し・必要に応じた改善を行います。
- 緊急対応
情報セキュリティ全般に関する各従業員からの問い合わせに随時対応していく。
●関連リンク