- ベストアンサー
情報セキュリティマネジメントシステム ISMS
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
「ISMS自体をはじめるにあたり、ガイドラインやチェックリストはあるのでしょうか・・?」ですが、大きな書店でJIS Q 27001のハンドブックを買い、その中に書かれている「管理策」をご覧ください。 見方によってはこれがチェックリストになります。
その他の回答 (2)
- isoworld
- ベストアンサー率32% (1384/4204)
回答No.1のとおり、情報セキュリティマネジメントシステムの国際規格のことです。JISでも同じ番号の規格(JIS Q 27001)が出ており、これはISO規格の(言わば)日本語翻訳版です。ごく最近改訂され、2014版が最新版です。 この規格で求められた事項(要求事項)を完全に満たすように社内の情報管理の仕組みを整備して運用実績を上げ、審査を受ければ(それで問題なければ)認証取得できます(有料です)。認証取得は「当社は情報セキュリティマネジメントシステムがしっかりできていて管理され安心できますよ」という対外的な証明になるわけです。 とくに「管理策」と呼ばれる情報セキュリティに不可欠な実施事項(100数十ある)が出来れば、とりあえずOKです。
お礼
有難うございます。 実は今回はまさに「社内の情報管理の仕組みを整備」から始まっておりまして、 どう整備すればISMS(仕組み)と言えるのか、から検討しています。 ISMS自体をはじめるにあたり、ガイドラインやチェックリストはあるのでしょうか・・?。
- kuma8ro
- ベストアンサー率40% (212/523)
ISO27001は、企業の情報セキュリティ全般の取扱に関し、企業全体としてのしくみ(ISMS)を作り、それを正しく運用し、必要に応じて改善することを求める規格です。 規格に適合していることを確認してもらうことや、そのための助言をもらうことを、認証機関に求めることが出来ます。 企業のトップが積極的に参加することを求める一方で、本社支社単位や、事業部門別に取得することや、ISMSをゆるめに構築することも許容しています。 個人情報も、情報セキュリティの最重要な要素ですが、ISO27001では、個人情報保護に特化した要求事項はほとんど有りません。 しくみ全体として、企業間取引を主体とした中規模(数百人)以上の企業に向いているように思います。 個人情報に特化した認証制度としては、プライバシーマークが最も知られており、多くの企業が取得しています。 (ISO27001:4493社、プライバシーマーク:13575社) こちらの方が良さそうに思います。 (私自身は、Pマークの実務経験は無いので、これ以上のことはお伝え出来ませんが。)
お礼
有難うございます。 今回の悩みとしては「企業全体としての仕組み(ISMS)」が何か、 ということから始まっております。 どう仕組みを構築すれば、要求を満たせるのか・・ 何か標準などがあるのでしょうか。
関連するQ&A
- 情報セキュリティマネジメントシステム(ISMS/ISO 27001/JIS Q 27001)のリスクアセスメントについて
私の会社では、情報セキュリティマネジメントシステム(ISO 27001:2005)を取得・運用しております。 リスクアセスメントを実施していくにあたって、つじつまが合わないというか困ったことが出てきました。 わかりやすくするため 財団法人 日本情報処理開発協会の 「ISMSユーザーズガイド-リスクマネジメント編-」 http://www.isms.jipdec.jp/doc/JIP-ISMS113-11.pdf を使って運用するものとします。 ユーザーズガイド P32によると リスク値=「情報資産の価値」×「脅威」×「ぜい弱性」 等となります。 そして例えば「受容可能なリスク値」を9未満と決めたとします。 そうすると、P33の表の水色部分において、対策を行うこととなります。 ------------------------ここまでは良いのですが… 弊社では、同じような方式を採用して なおかつ定期的にリスクアセスメントを行うこととしました。 もちろん今までのリスク(ぜい弱性)に対する対策は取ってあるとします。 そうすると、「情報資産の価値」=3以上、「脅威」=3、の資産の場合 「ぜい弱性」がいくつであろうとも、リスク値は9以上になってしまうのです! 自らコントロールできる値は「ぜい弱性」のみですから、 ありとあらゆる対策を取り、ぜい弱性を下げてあったとしても いつまでたっても「受容可能なリスク値」(9未満)を満足できない …というおかしな事になってしまうのです… このユーザーズガイドの点数は、あくまで便宜的な数値、ということはわかっているのですが じゃあどのようにリスクアセスメント手法を直せばいいか、良い方法が思いつきません… うまく運用されている例がありましたらぜひご教示ください!
- 締切済み
- コンサルティング
- ISMS(情報セキュリティーマネジメントシステム)って何ですか?
突然ですが、ISMS(情報セキュリティーマネジメントシステム)とはどのようなものですか? パイロット審査とはどのような審査なのでしょうか? 開発した製品にかけるのか、会社にかけるのかよく分かりません。 色々検索し、調べましたが、元々素人に近いためよく意味が分かりません。 分かりやすく教えていただけると有り難いのですが。
- ベストアンサー
- ネットワーク
- 社内の運用管理の改善
50名ほどの小さな会社のシステムを管理しています。 私が入社時からの課題ですが、運用管理が場当たりで、 全く整理されていません。 ・構成管理(納品物、バージョン管理、ライセンス・PC管理)ができていない ・属人的に運用が行われている(業務やプロセスが棚卸されていない) ※知っている人に聞いて場当たり的に対応するなど・・ 何らかのルールや方針を現状に適用し、 メンバーの意識を変えていきたいのですが、 「ISO20000-1」や「ITIL」は、弊社のような状況には有効な ガイドラインでしょうか?。
- ベストアンサー
- その他(ITシステム運用・管理)
- 情報セキュリティの社内基準が無い
今回入社したベンチャーの会社ですが、 情報セキュリティに関する、社内基準がありません。 例えば、 ・他社の人間が、社内にノートPCを持ち込む ・私物の外付けHDを社内に持ち込んで業務をする ・ノートPCを自宅に持ち帰って作業をする ・USBメモリが個人管理(社内に何本あるか、誰も把握していない) などが横行し、ルールとしてこれを制御することができていません。 これらを制御するルールを作成したいと思うのですが、 「ガイドライン」や「標準」となるドキュメントやサンプルなどは ネットで公開されていたりするものなのでしょうか?。 ※大変お恥ずかしいご相談ですが・・ そもそも経営陣がITに疎いうえ影響力が薄く、トップダウンで これらのリスクに取り組み、指示していくことが期待できません。 情シスで何らかのドラフトを作成してそれを提言し、 承認を取り付ければと考えています。
- ベストアンサー
- その他(ビジネス・キャリア)
- 機密情報取扱に関する社内ガイドライン
Pマークや機密情報、個人情報等で検索をかけましたが なかなか思っているものがヒットしなかったので、 できる範囲で結構です。教えていただければと思います。 現在、私の勤める会社ではPマークを取得しておりません。 将来的には取得予定でおりますが、今のところは取得するというよりは 社内の機密情報等に関する取扱の意識統一をしたい、といったところです。 つきましては、社内ガイドラインを作成しようと思っているのですが (PCの社外持ち出し規定や、各自のPCローカルに保存できる 情報の限定など) どのような内容で作成したらよいものか、できれば雛形のようなものは 入手できないかなど、検討中です。 自社で行っているガイドラインや、サイトから入手できる雛形など できる範囲でご教授戴ければと思います。 よろしくお願いいたします。
- ベストアンサー
- コンサルティング
- 個人情報の範囲って
社内(および系列会社)でのみ閲覧可能なHPに社員個人の公的資格および社内ローカルの資格の取得情報が一覧で掲載されました。これらは個人情報として保護すべきものとして即刻掲載を中止すべきなのでしょうか?それとも、この程度の情報だと保護すべき情報とまでは言えないのでしょうか?
- ベストアンサー
- その他(ビジネス・キャリア)
- 情報セキュリティについての対応
夫が所属の会社の情報セキュリティルールを 違反してしまい、懲罰を受けました。 (許可されていないCD媒体を使用したうっかりミスです) その懲罰とは別に、 社内で再犯を防止するための、施策を考えるよう、 業務命令がありました。 夫が主体となり、防止に向けた活動を実施します。 一緒に色々と調べたのですが、 ・チェックルールを作成し、各自が定期的にチェック ・セキュリティ研修会を実施 ・社内の見回り などはその予防として、他社でも実施されていますが、 他に有効な施策などはありますでしょうか?。 上記だけでは部署で了承が得られないようです。 ご意見を頂けると助かります。
- ベストアンサー
- その他(ビジネス・キャリア)
- これは個人情報になるのでしょうか?
これは個人情報になるのでしょうか? 教えてください。 整体を受け、体を壊され、 以下の項目を整体のお店の本部にお尋ねしましたが 個人情報なので答えられないと言われました。 これが正常なのでしょうか? ○整体を受け、施術者に国家資格があるのか? ○資格がある場合には、資格名・登録番号を教えてほしい。 ○施術者のフルネーム 業務上の事は個人情報になるのでしょうか? よろしくお願いいたします。
- 締切済み
- その他(法律)
- 会社の情報セキュリティについて
情報セキュリティ関連に詳しい方への質問です。 私はある会社のコールセンターのリーダーとして働いていますが、あるSVからSV個人のGメールアドレスを各リーダーに渡され、そのSVが休みの日に必ずGメールで各リーダーに仕事が飛んできたりその日の状況を確認しにきたりします。 SVからは、「もちろん業務優先でやってくれていいし、このメールへすぐに返信しなくてよい」と言ってきてはいますが、なんせSVからのメールで業務依頼となれば通常はやらないわけにはいかないでしょう!しかし私も含めて正直迷惑しているリーダーがいるのも事実です。 しかしながら、それ以前に個人のGメールアドレスから会社のアドレスにメールを送付し、受け取ったリーダーはそのメールを見て仕事をしたり、社内の情報を返すというこの行為をしておりますが、これは会社として認められる行為なのでしょうか?一応現在SVの上司である係長に問い合わせしておりますが、係長も即答できず、一旦持ち帰りとなっております。 私は過去色んな会社にいましたが、このような行為をした上司は見かけた事がありません。 確か指示した人物も情報を提供した人物も解雇になる場合もあると何かで聞いたことがあるので、情報セキュリティ関連に詳しい方より急ぎでご回答をお願いします。
- 締切済み
- 社会・職場
- 輸出業務を知り合いの会社にまかせてますけど。
輸出が主力の中小企業です。それで弊社とかかわりのある年配の人にインボイスとか作っていただいてます。私がインターネットの情報を見るとこういう業種はもうからないとのことで、たぶんこの知り合いには割高でたのんでします。ところで年配の人なのでいずれ引退すると思いますが、社内でこの業務をすることができますか。私は通関士の講義をうけたことあり、一品目などは資格いらないし、社内であれば問題はないように思えます。会社自体は山の中にあり、港でトラブルあれば、行くのは少し大変なのは事実です。将来的に安い他の業者でみてもらうのも手ですが、個人的には業務の幅を広げたいという野望もあります。あらかじめこの話について知っておきたいので、ぜひ通関業務をご存じの方おしえてください。
- ベストアンサー
- その他(ビジネス・キャリア)
お礼
有難うございました。 先ずはこちらをベースに現状のたな卸しをしたいと思います。