|
   |
|
 |
|
 HOME |
  会社概要お問い合わせ |
|
|
  ISMS導入後のプロジェクトの進め方・前編(事務局の役割)ISMSの導入はあくまでもスタート地点に過ぎず、導入後に安定した運用をしていくことが最も重要です。ここでは、導入したISMSを運用するためにどのようなことに注意していけばよいのかを解説します。
要求事項 『運用について管理すること。 資源について管理すること。 セキュリティ事件・事故を迅速に検出し対処できる、手順及びその他の管理策を実施すること。』 (BS7799-2:2002 ISMSの導入及び運用 4.2.2e〜gより引用)
ISMSを推進していく上では、一年間通して定期的なイベントがいくつか発生するため、事務局を設置するとよいでしょう。設置部門は、プロフィットセンターではなく、コストセンター部門に任せたほうが、業務の負荷や顧客対応に振り回されることが少ないため、確実な運用が期待できます。 組織の規模にもよりますが、必ずしも専任である必要はありません。運用実施時にはISMS推進事務局が次のような役割を担うとよいでしょう。 1.ISMSの運用(リスクアセスメント・情報資産の再評価) 情報資産台帳は会社の業務内容に合わせて更新していく必要があります。新規にビジネスやサービスを始める際には、情報資産の見直しを行い、新しいリスクが発生していないか、管理しなければなりません。作業工数の優先順位などを考えると、現場では自発的に情報資産の見直しは行わないので、事務局が後押しすることが必要になってきます。リスクアセスメンを行う場合、ISMS規格の知識はもちろん、情報セキュリティリスクの知識も必要です。ISMSを構築した事務局が推進することで効果的にリスクを評価できるでしょう。 2.ISMS文書・記録の管理 ISMSを運用する上では文書(各種規定やマニュアルなど)の最新版管理が重要です。改訂された文書が関係者全員に行き渡るには工数がかかります。それに文書は時間が経過すると業務の実態と乖離してしまうことが多いので、ISMS事務局が呼びかけて、定期的に見直し、改訂することで、着実な運用が期待できます。 3.セキュリティ事故の管理 セキュリティ事件、事故には迅速な対応が必要です。情報公開や謝罪のタイミングが遅れてしまうと被害が拡大してしまいます。それに忘れてはならないのが是正処置策・再発防止策です。セキュリティ事件、事故が発生した場合には、真の原因を追求して、2度と起こらないための再発防止策を適用しなければなりません。再発防止策を適用後に、一定期間の時間をとって、同様の事件事故が発生していないか、効果の確認をする必要があります。このように1件の事件事故が終息するには、長期間かかることが多いので、事務局が進捗管理することで、確実に再発防止できるでしょう。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
| | サイトポリシー | リンクポリシー | プライバシーポリシー | サイトマップ | | Copyright JMC Co.,Ltd. All rights reserved. |
