|
0.序 文
|
ISMSは、効果的な情報セキュリティマネジメントシステムを構築し、運営管理していくためのモデルを提供することを目的として作成されたものである。 |
| 1.適用範囲 |
あらゆる組織に適用出来るようにしている。除外を検討できるのは、付属書「詳細管理策」だけである。 |
| 2.引用規格 |
JISX5080:2002、JISQ9001:2000、TRQ0008:2003が引用されている。 |
| 3.用語及び定義 |
可用性、機密性、情報セキュリティ、情報セキュリティマネジメントシステム、完全性、リスクの受容、リスク分析、リスクアセスメント、リスク評価、リスクマネジメント、リスク対応、適用宣言書の定義がある。 |
| 4.情報セキュリティマネジメントシステム |
| 4.1 一般要求事項 |
自らの事業活動全般及びリスク全般を考慮してISMSを構築、導入、維持し継続的に改善すること。 |
| 4.2 ISMSの確立及び運用管理 |
| 4.2.1
ISMSの確立 |
適用範囲、基本方針、リスクアセスメント、リスクの識別、リスクアセスメントの実施、リスク対応と評価、リスク管理策、適用宣言書について確立すること。 |
| 4.2.2
ISMSの導入及び運用 |
ISMSの管理のための計画、責任、管理策、教育、運用、経営資源、事故等への対応を実施すること。 |
| 4.2.3
ISMSの監視及び見直し |
ISMSの適切な管理、定期的な見直し、リスク変化への対応、内部監査、マネジメントレビューを実施し記録すること。 |
| 4.2.4
ISMSの維持及び改善 |
ISMSの改善策、是正・予防処置、可能な利害関係者との合意、適切な改善を実施し改善に結びつけること。 |
| 4.3 文書化に関する要求事項 |
|
| 4.3.1
一般 |
情報セキュリティ基本方針、適用範囲、リスクアセスメント、リスク対応計画、必要な手順、記録、適用宣言書の文書を利用できるようにすること。 |
| 4.3.2
文書管理 |
文書は、承認、見直し、変更及び改訂の識別、配布管理、外部文書管理、廃止文書管理の手順を確立すること。 |
| 4.3.3
記録の管理 |
記録は、読みやすく、識別可能な管理をすること。 |
| 5.経営陣の責任 |
| 5.1 経営陣のコミットメント |
情報セキュリティ基本方針・目標、役割及び責任、重要性の周知、経営資源、可能なリスク水準、マネジメントレビューについてコミットメントすること。 |
| 5.2 経営資源の運用管理 |
| 5.2.1
経営資源の提供 |
ISMSを確立、導入、運用、維持及び改善するための経営資源を決定し、提供すること。 |
| 5.2.2
教育・訓練、認識及び力量 |
必要な力量を明確にし、教育・訓練の実施、有効性の評価、記録の維持を確実にすること。 |
| 6.マネジメントレビュー |
| 6.1 一般 |
定められた間隔でISMSをレビューし、記録すること。 |
| 6.2 マネジメントレビューへのインプット |
監査、是正・予防処置等の重要な情報を報告すること。 |
| 6.3 マネジメントレビューからのアウトプット |
有効性の改善、必要な変更、経営資源についての決定及び処置を実施すること。 |
| 6.4 内部監査 |
定められた間隔で内部監査を実施し記録すること。 |
| 7.改善 |
| 7.1 継続的改善 |
ISMSの有効性を継続的に改善すること。 |
| 7.2 是正処置 |
不適合の原因を調査し必要な対策を実施し記録すること。 |
| 7.3 予防処置 |
不適合が起きないように原因を調査し必要な対策を実施し記録すること。 |
| 付属書「詳細管理策」 |
| 1 はじめに |
必要な管理策を選択すること。 |
| 2 実践規範への手引き |
詳細管理策は、最良な実践の導入についての助言及び手引きである。 |
| 3 情報セキュリティ基本方針 |
基本方針文書は、経営陣に承認され、全従業員に周知すること。定期的に見直しすること。 |
| 4 組織のセキュリティ |
委員会を設置し、効果的な運用をすること。第三者によるアクセスについてセキュリティ管理策を実施すること。外部委託の管理をすること。 |
| 5 資産の分類及び管理 |
資産目録を作成・維持すること。情報を分類し、ラベル付け及び取り扱いの手順を定めること。 |
| 6 人的セキュリティ |
従業員の規程や雇用条件により情報セキュリティの維持をすること。訓練をすること。事故、誤動作への対応をすること。 |
| 7 物理的及び環境的セキュリティ |
セキュリティの保たれた領域の管理方法を決めること。装置及びその他のセキュリティを保護、保守管理すること。 |
| 8 通信及び運用管理 |
運用のための操作手順、事故管理手順等を確立維持すること。システム計画、悪意のあるソフトウェア、バックアップ、ネットワーク、情報媒体、メール等の管理をすること。 |
| 9 アクセス制御 |
利用者及びネットワークのアクセスを管理・監視すること。パスワード等によるアクセス制御をすること。ノートパソコン、携帯電話、遠隔操作等の管理策を定めること。 |
| 10 システムの開発及び保守 |
業務用システムのセキュリティ、暗号による管理策、システムファイルのセキュリティの管理をすること。システムの変更を確実管理すること。 |
| 11 事業継続管理 |
事業継続のための計画、見直し等の管理手順を定めること。 |
|
12 適合性
|
法的要求事項、セキュリティ基本方針、技術適合、システム監査手続きの適合性を維持すること。
|
