ISO27001(ISMS)のサンプルマニュアル

 

ISO27001(ISMS)を取得する場合、やはり気になるのは、
文書化をどうするのか、ということです。

特に、メインの文書となる、
ISMSマニュアル(情報セキュリティマニュアル)を
どう作成するかです。

審査のためのマニュアルを作成するのではなく、
実際に運用するためのマニュアルを作成しなくては
いけません。

具体的には、誰が、いつ、(何のために)、(どこで)
何を、どのようにするか、を記入することです。

↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓

ISMSのサンプルマニュアルを
有料にて、ワードファイルで提供中です。

 
→   詳 細

→   適用宣言書(サンプル)

ISO27001とは?

 

ISO27001とは、情報セキュリティマネジメントの国際規格のことをいいます。
ISMS(Information Security Management System)ともいいます。

プライバシーマーク(Pマーク)と対比させた方が、
わかりやすいので、以下に記します。

 

Pマーク(JISQ15001) ISO27001(ISMS)
規格の名称 個人情報保護マネジメントシステム規格 情報セキュリティマネジメントシステム規格
規格の種類 国内規格(JIS規格) 国際規格(ISO規格)
取得企業数
(2012年1月現在)
約12,000 約4,000
規格の特徴 個人情報保護法を順守すればよいというだけでなく、組織対策としてPDCAの仕組みの構築を要求     組織内の重要な情報資産を認識し、そのリスク対策をPDCAの仕組みによって運営管理することを要求

適用宣言書とは?

 

適用宣言書とは、「その組織のISMSに関連して適用する管理目的及び
管理策を記述した文書」という※定義があります。

つまり、自社における、情報セキュリティ管理策の適用状況を外部に
宣言する文書といえます。

実際には、ISMSを認証し、JIPDECに登録した際には、
JIPDECのホームページにある、ISMS適合性評価制度の登録情報の中で、
企業は、適用宣言書の版番号を公開するような形で行っています。

具体的に、適用宣言書をどう作成したらよいかですが、
JISQ27001の要求事項にある、附属書Aから自社のISMSにとって、
必要な情報セキュリティ管理策を選択し、それらを記載することで
文書を作成します。

また、附属書Aに、必要な管理策がない場合は、これ以外から採用し、
記載することも可能です。


適用宣言書を記載する注意点がいくつかあります。

1.管理策の選択及び除外する理由を記載する
2.選択した管理策の実行の可否を記載する
(選択していても、経営資源の事情などから実施していない場合もあり得る)


必要最低限のレベルで考えれば、
一般的に、以下のように記載することが多いです。

・適用宣言書サンプル


現在、上記サンプルの完全版を有料にて、
エクセルファイルで提供中です。
(自社でカスタマイズできます)

・詳細


※旧規格(JISQ27001:2006)での定義。
 現在の新規格(JISQ27000:2014)では、定義はない

ISO27001の基礎知識

 

ISO27001の基礎知識表紙.jpg ISO27001の規格要求事項新.jpg ISO27001の取得のメリットデメリット.jpg
ISO27001の取得活動プロセス.jpg ISOの審査制度.jpg リスクアセスメントの全体像.jpg

 

・ISO27001とは何か?
・ISO27001はどんなことを要求しているのか?
・ISO27001取得のメリットやデメリットは何か?
・ISO27001はどのようにして取得できるのか?

 

ISO27001を取得するための基礎を知る資料(全部で10枚)を
無料配付しております。

↓↓↓↓↓
お申し込みは、お問い合わせフォームの
ご質問(ご要望)に、ISO27001資料希望と
明記ください。

ISO27001のリスクアセスメント

 

ISO27001リスクアセスメント.jpg リスクアセスメントの目的.jpg 情報資産台帳の作成例.jpg
リスクアセスメントの全体像.jpg リスク及び機会の決定.jpg リスク一覧表例.jpg

 

ISO27001におけるリスクアセスメントのやり方の資料(全部で22枚)を
無料配付しております。

リスクアセスメントは、具体的なアウトプットを作成することが
必要ですが、その参考となる資料をご用意しております。

どんな基準がよいか、
リスク及び機会は、どのように理解したらよいか、
結果としてのリスクアセスメントはどんな様式がよいのか、
そんな疑問に答える資料です。

↓↓↓↓↓
お申し込みは、お問い合わせのフォームの
ご質問(ご要望)に、ISO27001リスクアセスメント資料希望と
明記ください。

ISO27001:2013の規格の概要

 

まず、情報セキュリティとは、何か?
この定義を確認しておく必要があります。

ISO27001の規格では、こう定義しています。
情報セキュリティとは、情報の「機密性」「完全性」「可用性」を維持すること。

「機密性」とは、漏らさないこと、不正アクセスから保護すること
「完全性」とは、正確性、完全性を保つこと
「可用性」とは、許可された者が、利用したいときに、利用できること

これらのことを維持するために、マネジメントの仕組みを活用して
実行するのが、ISO27001です。

では、何を実行するのか?
以下、実行すべき規格の概要を記します。

1.適用範囲
2.引用規格
3.用語及び定義
4.組織の状況         
4.1 組織及びその状況の理解        
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
5.リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2.方針
5.3 組織の役割、責任及び権限
6.計画
6.1 リスク及び機会への取り組み
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化された情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化された情報の管理
8.運用
8.1 運用の計画及び管理
8.2 情報セキュリティマネジメント
8.3 情報セキュリティリスク対応
9.パフォーマンス評価
9.1 監視、測定、分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10. 改善
10.1不適合及び是正処置
10.2継続的改善                         

ISO27001取得のポイント

 

取得のためのポイントは3つあります。

ポイント1:組織の状況の確定

場当たり的にセキュリティ対策を行うのではなく、
会社にとっての経営課題を明確にし、仕組みに関連付け、
守るべきものは何か(重要な情報資産は何か)を明確にすること。


ポイント2:リスクアセスメントの実施

組織の状況を考慮した上で、
リスクアセスメント(リスク分析)を行い、
適切な情報セキュリティのリスク対応を決めること。


ポイント3:リスク対策は、PDCAで取り組む

リスクを低減させるものには、組織的な対策を行い、
一連の活動には、PDCAサイクルが適用されていること。

情報セキュリティ教育(テキストを有料配付)

 

情報漏えいの原因.jpg 情報セキュリティの3要素.jpg sec3.jpg
sec4.jpg sec5.jpg sec6.jpg
sec7.jpg sec8.jpg sec9.jpg

 

・情報セキュリティ教育のスライドサンプル

 

情報セキュリティの原因は何か?
漏えいだけではない、情報セキュリティにおいて大事なことは?
どんな事件や事故が起きているか?

ISO27001の取得に関係なく、
情報セキュリティ教育に必要な資料を準備できます。

 

情報セキュリティの教育を社内で行うためのテキストを販売致します。
演習ネタも入っており、単なる机上用のテキストではありません。
パワーポイントで納品致しますので、あとで加筆・修正が可能です。

■研修内容(概要):
1.最近のセキュリティ事件・事故事例
2.確認すべき法令
3.ISO27001の改訂について
4.部門の運用管理について
5.運用管理のコミュニケーション(部門員への伝え方)



■費用:5,000円(税別)
※オプションで出前研修も可能です。

■納品方法:データ納品(ダウンロード形式)

■対象者:情報セキュリティ教育が必要な社員

■研修想定時間:約2時間


↓↓↓↓↓
■お申し込み方法
※お問合せフォームのご質問(ご要望)に、「情報セキュリティ教育テキスト購入希望」と
明記ください。パワーポイントでの納品希望の場合はバージョンも明記ください。

→ お申し込み(お問い合わせ)フォームへ


■注意事項:
1.本商品を転売する等の商用利用を禁止致します。
2.お支払い確定日から3営業日以内で納品いたします。

ISO27001取得にあたってのコンサルタント選び方

 

自社にあう、あわない、という問題は必ず出てきます。
結局、どんなに立派なコンサルツールを持っていたとしても、
コンサルタント自身も、商品の一部なのですから、
コンサルタントもしっかり選定することが必要となります。