ISMS(ISO27001)定期運用の1年間でやること

ISMS 定期運用ですること

ISMS(ISO27001)は取得したら終わり、ではなく「やること」が決められており、定められている10項の要求事項に沿って実施・運用していく必要があります。本記事では、ISMS(ISO27001)の定期運用でやることを紹介します。

1.ISMS(ISO27001)の運用でやること

ISMS(ISO27001)の運用は以下の要求事項10項に沿って構築したルールの中から、4項以降を運用していきます。
  1項 適用範囲
  2項 引用規格
  3項 用語及び定義
  4項 組織の状況
  5項 リーダーシップ(方針の策定、組織体制の整備等)
  6項 計画(リスク・機会、目的目標の管理)
  7項 支援(設備資源、力量、コミュニケーション、文書・記録管理)
  8項 運用(情報セキュリティアセスメントとリスク対応)
  9項 パフォーマンス評価(内部監査、マネジメントレビュー等)
  10項 改善(是正処置対応、継続的改善)

実質、ISMS(ISO27001)独自の運用として必要なのは、
・組織の状況を理解すること
・情報セキュリティリスクアセスメント
・リスク対応計画
・目的目標を管理すること
・教育
・内部監査
・マネジメントレビュー
・是正処置とインシデント


合計9つの運用をする必要があります。
(また、要求事項附属書Aで定められている事業継続についての訓練実施もISO運用のために必要になります。)

上記9つについては次項より順に説明します。

2.組織の状況を理解すること

マネジメントシステムを運用するには、どんな規格であれ目標達成を目指して活動していきます。
その目標達成のためにはまず自社の状況を把握することが必要です。
要するに、自社のヒト・モノ・カネその他の課題やリスク、顧客等外部から求められているものなど、
まずは自分たちの組織について理解することが重要です。

3.情報セキュリティリスクアセスメント

組織で関わる情報資産は何か?潜在するリスクは何か?もしそれは起こった場合の影響は?など、
業務やプロセスごとに1つずつ洗い出し、それぞれに対策を取っておかなければなりません。

また、守らなければならない情報は何か?あるいはリスクは低いが注視しなければならないものは何か?などを決めていきます。
会社は大なり小なり変化しているはずなので、変化に気づいてリスクや守るべき情報を見逃さないためにも毎年の見直しが必要です。

4.リスク対応計画

情報セキュリティリスクアセスメントで洗い出された特に守らなければならない情報や注視しなければならないものについてはリスク対応計画を策定し、別途管理していきます。

5.目的目標を管理すること

こちらも洗い出された情報セキュリティリスクアセスメントあるいは他の情報から、運用のゴールとして設定する目標を決めて、スケジュールごとなどで達成までの活動を追って管理できるようにします。

6.教育

ISO27001では毎年の教育が必須という要求事項が明確にあるわけではありません。
事務局や担当者だけがマネジメントシステムを運用できるものではなく、組織全体で運用するためにはまずは自社のルールを理解することから始まります。
どんな情報を守らなければならないか・それはなぜか・守らなかった場合どうなるかなどを知ることが重要です。
定期的な教育の実施などで自社のルールを理解することやISMS(ISO27001)がどういう活動なのかを教育内容に取り入れていきましょう。

ISMS(ISO27001)の教育について詳しく知りたい方は、こちらの記事で詳しく説明しております。

7.事業継続計画

事業継続計画とは緊急事態が発生しても事業を継続・復旧できるようにあらかじめ備えておくことです。
ISMS(ISO27001)では要求事項本体ではなく附属書に記されており、詳細な項目はありませんが、
実際に起こった場合を想定して誰が・いつ・どこで・どうやって・何をするかを決めて手順にしておくことが重要です。

毎年、手順が有効かを確認するために実際に訓練としてやってみて手順を見直していきます。

8.内部監査

内部監査は、ISMS(ISO27001)だけでなくISO規格で重要な仕組みの1つです。
内部監査を実施し、ルール通りに運用ができているか、漏れている運用はないか、もっと改善すべきことはないかを自社でチェックします。
 

9.マネジメントレビュー

一通りの活動結果を組織のトップへインプットし、次の運用に向けた方向性を確認し、アウトプットをもらいます。

10.是正処置とインシデント

内部監査やクレームなどで出た不適合の是正処置もそうですが、その他でも出た改善点に対し、是正処置を行い再発防止策をとって2度と発生しないように対策します。
その他、インシデントとして処置対応すべきことも再発防止策を取って改善し、次からの運用に活かします。

11.まとめ

以上、9つの運用について解説しました。
その他要求事項にあるコミュニケーションや文書管理など、9つの運用以外の内容については本業で実施している活動であることがほとんどです。
もし自分たちの活動がやりすぎていたり、運用しきれないと思ったら一度運用していることを整理してみるといいかもしれません。
迷った時には外部の専門家に相談してみてください。

  • お客様の声
  • 無料プレゼント

カテゴリー: