|
|
ISMSの構築について JISQ27001(ISO/IEC27001) 1/10
はじめに−ISMS構築作業を進めるにあたって
ISMSの認証基準は、国際規格「ISO/IEC 27001」であり、日本語化された日本工業規格「JIS Q 27001」です。ここでは「JIS Q 27001」に基づいて話しを進めます。
ISMS認証取得のためには、認証基準である「JIS Q 27001」を充分に理解する必要があり、まずは、JIS Q 27001:2014「情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項」(2014年3月20日改定版)を入手していただく必要があります。
あと、参考として、一般財団法人日本情報経済社会推進協会(以下、JIPDEC)が発行する次の資料を入手すると良いでしょう。改定前の JIS Q 27001:2006 の解説本ですが、参考になる部分も多くあり、しかも無料ですから。
・ISMSユーザーズガイド-JIS Q 27001:2006(ISO/IEC 27001:2005)対応
・ISMSユーザーズガイド-JIS Q 27001:2006(ISO/IEC 27001:2005)対応-リスクマネジメント編-
JIPDEC 情報マネジメントシステム推進センターのホームページの「組織の認証取得に関する基準・ガイドなど」→「ISMS認証取得に関する文書」のページよりダウンロードできます。
ISMS構築作業については、基本的には、規格内容や上記ガイドライン、市販書籍等をよく読んでいただれば済む話なのですが、ここでは、ガイドラインや一般書籍にはあまり書かれていない審査員の視点による作業上の要点などを掻い摘んで説明していきたいと思います。
そのため、JIS Q 27001:2014をお手元に置いてご覧になっていることを前提として、網羅的な記述とはなっていません。また、コンサルティング上のノウハウとして、あるいは、これまでご支援してきたお客様との守秘義務の関係上、詳しく示すことのできない部分もありますこと、ご容赦ください。
ご不明な点などありましたら、[お問い合せ]のページから何なりとお問い合わせください。Webサイト上では掲載しづらい事も、個別の回答の中でならお話しできることもあるかも知れません。
認証取得された組織の中には、ただ、認証マークを維持するために、あたふたと無駄な作業に追われて、負担にしかなっていない状況に陥っている場合がよく見かけます。
それぞれの組織には、ISMS認証取得を得ようとする目的(動機)があるはずであり、ISMSの構築は、そのための投資です。投資であるならば、投資に見合ったリターン(見返り)を得られるものにしていただきたいと思います。
|
|
