審査機関・審査員によって第1段階審査での要求が異なるかも知れないが、そんなことは本質的な問題の外。経営者として、全員が正しい行いが出来る状態になっていれば良い。
運用開始レディを構築フェーズ完了の条件とすれば、手順の文書化、実行可能な計画、力量の備わった要員などが揃っていることです。全員が今日から何をやれば良いか明確になっている状態。
運用開始日は現在のリスクレベルから目標とするリスクレベルへの改善活動が整然とスタートする日でもある。経営者からすれば一定のリスクを受容する期間のスタート。
従って、規格が要求する一連の手順書策定、計画書策定は完了していること。
<運用フェーズ前に文書化を終える必要があるもの>
1. 適用範囲
2. 方針
3. リスクアセスメント手順:
4. リスクアセスメント結果:資産、脅威、脆弱性、リスク値、既存の管理策、追加の管理策、予測されるリスク値、残留リスク、適用宣言書。
5. 運用手順:運用・監視・レビュー
6. リスク対応計画
7. 文書管理実施手順:
8. 体制
9. 教育実施手順:
10. 内部監査実施手順
11. マネジメントレビュー実施手順:
12. 是正処置・予防処置実施手順
13. 詳細管理策(コンプライアンス関係、事業継続関係、既存の管理策)
<運用フェーズ後に文書化すれば良いもの>
1. 手順が要求する記録
2. リスク対応計画の中で策定するもの(追加の管理策として新たに策定するものも含む)