連載
» 2015年01月27日 18時00分 UPDATE

みならい君のISMS改訂対応物語(6):ISMS改訂対応の総仕上げ、移行審査の計画を立て、受審する (1/3)

みならいくんたちのISMS改訂準備も今回が最終回。最後は移行審査までの計画を整理し、これまでの総仕上げを行います。

[打川和男,@IT]
「みならい君のISMS改訂対応物語」のインデックス

連載目次

 この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMS仕組みを新規格(ISO/IEC27001:2013)へ対応する作業を行っていく物語です。

 読者の皆さまには、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。

 なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。

 最終回である今回のテーマは、「移行審査の計画を立て、受審する」です。


改訂対応作業の整理

さ〜みんな、そろそろ始めようか?


は〜い、本日もよろしくお願いしま〜す!


みならい君

本日でミーティングは終わりですね。


これまでのミーティングで解説した、改訂に必要な作業のポイントや概要は理解できたかな?


はい! 意図をキチンと整理できました!


みならい君

常務! 早速、改訂作業を開始するんですね!


まずは改訂作業を整理しようか。


はい常務! 改訂作業のステップは、以下のとおりです。


  • ISMSの方針を改訂する
  • 基本規程(ISMSマニュアルなど)を改訂する
  • 管理策に関する規程(情報セキュリティ対策規程など)を改訂する
  • 適用宣言書を改訂する

それでは詳しく見ていこうか! まずはISMSの方針の改訂だね。


みならい君

ISMSの方針内容に関する規格要求事項の変更は「d)ISMSの継続的改善へのコミットメントを含む」ことが追加されただけですよね?


そうだね、現在のISMSの方針にその文面を追加する必要があるね!


図1 改訂作業のステップ(クリックで拡大)

次は、基本規程(ISMSマニュアルなど)の改訂のポイントですね!


みならい君

第2回目第3回目のミーティングでやった、追加/変更された規格要求事項の対応ですね!


そうだね、みならい君。どのような手順を、ISMSマニュアルなどの基本規程に追加/変更すべきか、整理してくれるかな?


みならい君

はい常務、待ってました! 追加する必要がある手順は、以下のとおりです!


  • ISMSのリスクマネジメントに関する手順
  • 情報セキュリティ目的/目標の管理に関する手順
  • ISMSにおけるコミュニケーションの管理に関する手順

みならい君、すご〜い!


みならい君

へへへ、また、変更する必要がある手順は以下のとおりです!


  • リスクアセスメントおよびリスク対応に関する手順
  • 変更管理に関する手順
  • 委託している業務や委託先の管理に関する手順
  • 是正処置に関する手順

特に、二つのリスクマネジメントは、基本規程にその手順を明確にする必要があるわね


よく整理できているね! これらを踏まえて、ISMSマニュアルなどの基本規程を改訂しよう!


みならい君

は〜い!


図2 二つのリスクマネジメント(クリックで拡大)
       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。