Information Security Management System

*-!- ISO27001 -!-*

Dandelion
SINCE2006

現状調査

 ISMS構築プロジェクトを始めるにはプロジェクト計画を策定するが、プロジェクト計画の策定に当たって最小限の調査は必要になります。

＜システムの構築状況＞現状調査

（現状把握）

1. 適用範囲メンバーのISMS理解度調査

2. 業務プロセスの洗い出し＝統括サービスプロセス+内部管理プロセス
   統括サービスプロセス＝統括サービス資産一覧のレビュー
   内部管理プロセス＝グループ運営の決め

3. 各サービス資産の管理標準の整備状況調査

4. 各サービス資産の管理標準（管理策）と規格管理策の対応（マトリクス）表の整理

5. 規格管理策とG内の担当者の割り振り（→規格〜担当者対応チェックリストを準備）

6. 既存の規定・手順書・記録書式類の洗い出しと位置づけの確認（→規格〜手順書対応チェックリストを準備）

7. 規格に対する充足度（抜け漏れ）の確認（→充足度を見るチェックリストを準備）：５W1H（誰が、いつ、何を、どのようにやるか。）、責任者、手順、

 ＜インフラGの管理体系の検討＞

1. 全社の規定・ルール類とインフラGの文書類の関係・位置づけ。
   （インフラ管理Gのルールは基本的にそのまま全社ルールぐらいに考えてよいか）

2. 少なくともCIO目線で体系を見る必要がある。

3. ISMSマニュアルは既にあるのか。インフラGが使うISMSマニュアルは新規に必要かどうか。

 ＜リスクアセスメント手法＞

1. 一般的なレベル区分で行くか、金額換算した区分で行くか。

2. 洗い出し手順（資産、脅威、脆弱性（既存の管理策も）、事業要求、法規制要求）

3. 管理ツールの選択・検証

 ※　詳細リスクアセスメントに要する工数が確保できない。資産をサービスの単位で括っても資産数を少なくしても、資産に対する脅威・脆弱性が相当の量になるため、正しくアセスメントする限り工数は減らせない。

 ＜リスクアセスメント＞

1. 資産の洗い出し〜リスク値

 ＜リスク対応計画＞

1. システムの構築状況で確認した不足分の穴埋めにミニマム。

2. 新たな課題はリスクアセスメントの手順を踏めば得られる。

3. 過剰な管理策を軽減するのは「適切な管理策の選択」を行うリスクアセスの中で明確にされなければならない。

4. 優先度を決めるロジックが着手する前に必要。

 ＜運用管理＞

＜監視見直し＞

＜維持改善（是正予防）＞

＜文書／記録＞

＜経営陣＞

＜内部監査＞

＜マネジメントレビュー＞

*

＜管理目的と管理策/詳細管理策実施基準＞

1.    これは既存の「情報セキュリティ規定」が参考になるが、使いやすい形への改訂または流用が必要。

Integrated Management System

仮想的マネジメントモデルの時代へ

 文書調査

＜取り合えず文書を洗ってみる＞

レベル０：外部規範

レベル１：グループ規定

レベル２：会社規定

レベル３：部門内規

レベル４：慣習・実態・伝承（非文書化）

※

規定・ルールなどは管理策を具体化したもの。途中意識して議論したかどうかを問わず、特定の資産に対する脅威、脆弱性を評価し、追加の必要な管理策を講じるための手段として、規定・ルールが策定された（はずである）。従って、その規定の前提となる「資産」「脅威」「脆弱性」「管理目的・管理策」は日も付けることが出来る（はずである）。