<ドキュメント偏>(=構築偏)
ドキュメント類の策定状況から全体の進捗を管理する。
|
|
ドキュメント |
種類 |
|
|
本体 |
ISMSマニュアル |
ISMSマニュアル本体。以下は下位文書(別冊) |
|
|
4.2.1a |
適用範囲概要書 |
|
|
|
4.2.1b |
IS基本方針 |
|
|
|
4.2.1c |
リスクアセスメント手順書 |
手順書 |
|
|
4.2.1d |
情報資産台帳 |
フォーム/実績 |
|
|
4.2.1d |
脅威リスト |
フォーム/実績 |
|
|
4.2.1d |
脆弱性リスト |
フォーム/実績 |
|
|
4.2.1e |
リスク分析シート |
フォーム/実績 |
|
|
4.2.1f |
脅威・脆弱性vs.管理策対応表 |
有用性は疑問。 |
|
|
4.2.1j |
適用宣言書 |
リスト形式 |
|
|
4.2.2 |
リスク対応計画書 |
フォーム/計画/進捗 |
|
|
4.2.2 |
ISMS年度活動計画書 |
フォーム/計画/進捗 |
|
|
4.2.3 |
監視対象=記録一覧 |
リスト形式 |
|
|
4.3 |
文書管理手順書 |
手順書 |
|
|
4.3 |
文書管理台帳 |
リスト形式 |
|
|
4.3.1 |
管理策実施手順書 |
目次/133項目1件1葉 |
|
|
5.2.2 |
ISMS教育実施手順 |
手順書 |
|
|
5.2.2 |
ISMS教育実施計画 |
フォーム/計画/進捗 |
|
|
4.2.3 |
インシデント管理手順書 |
手順書 |
|
|
4.2.3 |
インシデント報告書 |
フォーム/実績。事件/事故/オールラウンド |
|
|
8.2 |
是正処置実施手順 |
手順書 |
|
|
8.2 |
是正処置管理票 |
フォーム/実績 |
|
|
8.3 |
予防処置実施手順 |
手順書 |
|
|
8.3 |
予防処置管理票 |
フォーム/実績 |
|
|
管理策偏 |
管理策A.5.1.1対応手順書*1 |
全133項目に対応する手順書/計画/等*1 |
|
|
〜 |
〜 |
||
|
管理策A.15.3.2対応手順書*1 |
全133項目に対応する手順書/計画/等*1 |
||
|
サービス偏 |
サービス管理標準*2 |
全サービス資産に対応する管理標準等*2 |
|
*1) Annex A規定の全133管理目的・管理策について、既存の文書が利用できない場合は新たに策定する。
*2) 全サービスについて、管理標準を整備する。この管理標準は全133管理策のどれに対応するものかを(双方向)明確にする必要がある。
<管理策編>
策定要件:
管理策別の実施手順書では以下の内容について該当するものを明確にする。また、管理策の特性により必要な項目の追加を行う。
1. 管理策の概要
2. 管理策適用範囲/対象資産
3. 管理策実施体制/役割責任
4. 管理策実施基準(管理指標/目標値)
5. 監視項目(記録)/監視基準(アラート、インシデント)
6. 実施手順/作業標準
7. 関連書式等
<サービス偏策定要件>
サービス別の管理標準書では以下の内容について該当するものを明確にする。また、サービスの特性により必要な項目の追加を行う。
1. サービス概要
2. サービス範囲
3. サービス体制/役割責任
4. サービス品質基準
5. 監視項目(記録)/監視基準(アラート、インシデント)
6. 運用標準/作業標準/監視方法
7. 関連書式等
◆ 概略スケジュール
課題の共有プロセス
現状調査(リスクアセスメントを実施する)
管理策抽出する
構築したISMSを運用する
運用のビッグイベントとして事業継続計画・内部監査・マネジメントレビューを実施する
教育訓練は運用の中の活動だが運用開始レディの条件と見た方が実質的である