コンサルティング・スケジュール
全20回プログラム
|
# |
項目 |
アクション |
準備資料 |
アウトプット |
メンバー |
|
1. |
プロジェクト・オープン(事務局のみ) |
@適用範囲概略理解 ・事業・プロセス・組織・サイトなど AISMSプロジェクト概要理解 ・制度概要・スケジュール・推進体制など |
*プロジェクト全体計画(基本案) *組織への依頼事項
|
・推進スケジュール ・推進体制・役割 |
責任者、主要関係者全員 |
|
2. |
キーマン教育:
|
@順次セミナー受講、 A書籍等による自学習、 |
*推奨セミナー *推奨書籍 |
|
事務局、部門推進員、内部監査員 |
|
3. |
キックオフ準備 管理文書調査 |
・実施案のレビュー ・キックオフプログラム検討 ・キックオフ用資料作成 規定/手順書等の先行調査 |
*アンケート事例 *台帳フォーム |
・狙い/方針案 ・適用範囲案 ・推進体制案 ・推進スケジュール案 文書台帳の素材 |
|
|
4. |
キックオフ
|
プロジェクト概要(狙い、推進体制、全体スケジュール)の説明 |
|
・アンケート(取り組み意欲の確認) |
責任者、適用範囲全員 |
|
5. |
ISMSマニュアル |
骨子策定
|
*マニュアル事例 *適用範囲事例 *方針事例 |
・適用範囲定義 ・ISMS方針書 ・その他 |
|
|
6. |
リスクアセスメント1 |
リスクアセスメント体系・方式の確認 |
*リスクアセス方式事例 |
|
|
|
7. |
リスクアセスメント2 |
資産台帳作成手順作成 (部門依頼とフォロー) |
*資産洗い出し手順事例 *資産台帳事例 |
・台帳フォーム ・現場作業依頼書 |
|
|
8. |
リスクアセスメント3 |
@資産台帳レビュー A脅威・脆弱性評価手順作成 (部門依頼とフォロー) |
*脅威・脆弱性評価手順事例 |
|
|
|
9. |
リスクアセスメント4 |
@脅威脆弱性レビュー Aリスク評価実施手順作成(現状リスク) (部門依頼とフォロー) |
*リスク評価シート事例 |
|
|
|
10. |
リスクアセスメント5 |
@リスク評価レビュー A追加の管理策の洗い出しと要件定義手順作成 Bリスクアセスメント更新手順作成(予測リスク) (部門依頼とフォロー) |
*リスクアセスメント結果報告書 |
|
|
|
11. |
リスクアセスメント6 |
@リスクアセスメントレビュー A適用宣言書作成 B残留リスク纏め (残課題フォロー、残留リスク承認) |
|
|
|
|
12. |
ドキュメント1 |
@管理策実施手順書作成取り纏め AISMSマニュアル作成取り纏め (部門依頼とフォロー) |
*文書体系事例(文書・記録) *文書管理事例 |
・追加の管理策は方針までで可 |
|
|
13. |
ドキュメント2 |
@管理策実施手順書作成取り纏め AISMSマニュアル作成取り纏め (部門依頼とフォロー) |
|
・追加の管理策は方針までで可 |
|
|
14. |
リスク対応計画1 |
@リスク対応計画管理手順作成 (リスク対応計画作成の部門依頼とフォロー) |
*リスク対応計画策定手順事例 *リスク対応計画事例 |
|
|
|
15. |
リスク対応計画2 |
@リスク対応計画レビュー (部門依頼とフォロー) |
|
|
|
|
16. |
構築フェーズ全体レビュー |
@ドキュメント総合レビュー A残留リスクの再承認 B運用開始決定 C事業継続訓練計画/内部監査計画の日程承認 |
*内部監査計画事例 *内部監査チェックリスト事例 *事業継続計画事例(全体) |
|
|
|
17. |
運用フェーズ教育(全員) |
@教育計画作成 A集合教育の教材作成(既存ドキュメント流用) (集合教育実施又はe-Learning) |
*教育計画事例 *教材事例 |
|
|
|
18. |
運用開始 |
指示書または会議録(エビデンスが残る形) |
*年度ISMS運用計画事例 *ライセンス管理事例 |
|
|
|
19. |
第1回委員会
|
(運用開始から1ヶ月以内) |
|
|
|
|
20. |
事業継続計画 |
訓練実施 |
*戦略計画事例 *訓練計画/報告事例 |
|
|
|
21. |
第2回委員会
|
(運用開始から2ヶ月以内) |
|
|
|
|
22. |
内部監査 |
実施 |
|
|
|
|
23. |
第3回委員会 内部監査 |
(運用開始から3ヶ月以内) 内部監査結果報告 |
|
|
|
|
24. |
内部監査 |
是正処置 |
|
|
|
|
25. |
マネジメントレビュー |
|
*議事録事例 |
|
|
|
26. |
マネジメントレビューフォロー |
指示事項対応策提案 指示事項フォロー |
|
|
|
|
27. |
プロジェクト・クローズ |
反省会 今後の進め方 |
|
|
|
1. 詳細作業(項番別実施項目)
スケジュールは構築フェーズ、運用フェーズそれぞれ規格項番を一通りなめることになります。
※詳細作業手順を書き出したらキリがない。規格通り。
|
|
区分 |
実施項目 |
内容 |
役割/その他 |
N/ASP対応 |
|
|
啓蒙・基礎知識 |
|
|
|
|
|
|
|
ISMSの理解(規格及び制度) |
一般的な内容 |
チーム全員 |
|
|
|
|
ISMSの理解(セミナー受講) |
一般的な内容 |
チーム全員 |
|
|
|
|
業務量全体の把握 |
一般的な内容 |
チーム全員 |
|
|
|
|
ツール利用可否判断 |
一般的な内容 |
チーム全員 |
|
|
4.2.1a |
適用範囲 |
|
|
|
|
|
|
|
適用範囲の理解 |
一般的な内容 |
チーム全員 |
|
|
|
|
定義書(事業) |
ドラフト・レビュー |
部門ミッション等 |
|
|
|
|
定義書(組織) |
ドラフト・レビュー |
各担当部門 |
|
|
|
|
定義書(所在) |
ドラフト・レビュー |
各担当部門 |
|
|
|
|
定義書(資産) |
ドラフト・レビュー |
各担当部門 |
|
|
|
|
定義書(技術) |
ドラフト・レビュー |
各担当部門 |
|
|
4.2.1b |
方針 |
|
|
|
|
|
|
|
方針 |
調査・ドラフト・レビュー |
後付でよいか? |
|
|
|
資産の棚卸し |
|
|
|
|
|
|
|
資産洗い出し手順の策定 |
調査・ドラフト・レビュー |
*6 |
|
|
|
|
資産価値評価方法の作成 |
調査・ドラフト・レビュー |
|
|
|
|
|
資産台帳作成 |
ドラフト・レビュー |
各担当部門 |
|
|
|
脅威 |
|
|
|
|
|
|
|
脅威洗い出し手順作成 |
調査・ドラフト・レビュー |
|
|
|
|
|
脅威リスト作成 |
ドラフト・レビュー |
|
|
|
|
|
脅威の程度の評価方法作成 |
調査・ドラフト・レビュー |
|
|
|
|
|
脅威の評価 |
ドラフト・レビュー |
|
|
|
|
脆弱性 |
|
|
|
|
|
|
|
脆弱性の洗い出し方法作成 |
調査・ドラフト・レビュー |
|
|
|
|
|
脆弱性リストの作成 |
ドラフト・レビュー |
|
|
|
|
|
脆弱性の程度の評価方法作成 |
調査・ドラフト・レビュー |
|
|
|
|
|
脆弱性の評価 |
ドラフト・レビュー |
*3 |
|
|
|
リスク値 |
|
|
|
|
|
|
|
リスク算定方法作成 |
ドラフト・レビュー |
*1 |
|
|
|
|
リスク値算定 |
ドラフト・レビュー |
|
|
|
|
|
受容基準策定 |
ドラフト・レビュー |
|
|
|
|
管理策 |
|
|
|
|
|
|
|
管理策適用手順策定 |
ドラフト・レビュー |
*2 |
|
|
|
|
管理策適用後リスク値算定 |
ドラフト・レビュー |
*4 |
|
|
|
|
リスク回避・移転適用 |
ドラフト・レビュー |
*5 |
|
|
|
|
適用宣言書作成 |
ドラフト・レビュー |
|
|
|
4.2.2 |
導入運用 |
|
|
|
|
|
|
|
リスク対応計画策定手順 |
ドラフト・レビュー |
*7 |
|
|
|
|
リスク対応計画策定 |
ドラフト・レビュー |
各担当部門 |
|
|
|
|
リスク対応計画実施(進捗記録) |
進捗記録・レビュー |
各担当部門 |
|
|
|
|
管理策実施手順策定 |
ドラフト・レビュー |
各担当部門*7 |
|
|
|
|
管理策実施(実施記録) |
実施記録・レビュー |
各担当部門 |
|
|
|
|
教育訓練実施手順作成 |
|
|
|
|
|
|
役割と力量の表作成 |
|
|
|
|
|
|
教育訓練計画作成 |
|
|
|
|
|
|
教育訓練計画実施(進捗記録) |
|
|
|
|
|
|
ISMS運用管理手順作成 |
|
|
|
|
|
|
ISMS運用計画作成 |
|
|
|
|
|
|
ISMS運用計画実施(進捗記録) |
|
|
|
|
|
|
経営資源管理手順作成 |
|
|
|
|
|
|
インシデント管理手順作成 |
|
*8 |
|
|
|
|
|
|
|
|
*1)単純確率。機密性を重視するとした時に機密性を4段階、可用性・完全性を3段階にする例を見かける。愚かなり。可用性も同等だと言ったらやり直すのか。リスクアセスのリスク値算出まではフラットやること。重視するしないは閾値を変えることで対応するのです。
*2)受容レベルに収まらなかったリスクを持つ資産については追加の管理策を当てるが、その選定をどのように行うかの方法論を明確にする。
脆弱性評価は、「必要な管理策」が当たっているかどうか。2つの管理策の追加が可能でどちらか1つがあれば十分な場合は1つで問題ないとする仕組み(考え方)が必要。管理策の有効性評価をどのように反映させるか。今までの審査では見たこと無い。感性評価が殆んど。
管理策実施手順に反映する内容(作成要件)が抽出できるプロセスであることが望ましい。要件が自明な場合は項目(キーワード)だけでも構わない。
*3)既存の管理策、追加可能な管理策の識別ができていること。
*4)どの管理策を当てる(適用する)ことによってリスクがどの程度下がるかが明確にできることが望ましい。手順は管理策適用手順に記載するとして、受容レベルまで低減するプロセスをどのような記録に残すかが問題。
*5)リスク分析シートの中に記載するか、そこからリンクさせて別途作成する。
*6)手順・方式の作成には必要な書式の作成も含むこと。
*7)リスク対応計画と管理策の実施との関係は正しく理解されていないことが多い。と言うより両者の区別が出来ていない。管理策は継続的・定常的に実施するもの。リスクレベルを維持する活動。リスク対応計画はプロジェクト的な活動はある特定の期間特定の目的で実施する。リスクレベルの改善に繋がる。審査機関/審査員自身が理解していないので、適切な所見が出せない。結局歪んだ仕組みのまま推移することになる。
管理策の有効性を測定する方法を入れる。
*8)是正処置との連携が分かるフロー図を入れること。