No.233　ISO情報セキュリティマネジメントシステムその4

ITコラム
2017年11月20日

ISO 飛鳥　石橋一史によるITコラム
～帝国ニュースに掲載されたものを紹介していきます～

ISMSは、附属書A（詳細管理策［適用宣言書］）がポイント、ISOの品質・環境・安全は建設業、製造業、商業、食品製造業など事業の特性でシステムの枠組みが異なるが、情報の管理策は業種が違っても共通部分が多いことから管理策がメニュー化されている。それがこの附属書Aであり、その数115項目。この中から該当する項目を選んで、それぞれの管理策を決めていく。このようにISMSは抑えどころが明確であり、決して難しいものではないことは以前解説した通り。

今回は附属書A箇条6、“ISMSに取り組むためには内部組織の管理上の枠組み”、ISMSにはITの知識が必要となるので、情報セキュリティ管理者あるいはネットワーク管理者など、専門性のある役回りを定めておく必要がある。これの責任と権限を割り当て、相反する職務は分離し、関係先との適切な連携を維持しなければならない。

関係先とは、取り扱う情報の種類・量によって、行政・警察・各省庁など、また、自社の情報・技術・設備を最適に保つための専門的な外部組織として、社労士、セキュリティ会社、IT事業者などとの適切な連係を維持する役目が課せられる。

責任者は、業務プロセスに応じた情報管理のリスクを考慮し、運用ルールを定める。

また、日々進歩するモバイル機器（スマホ、パソコン、ネットワーク設備など）を利用する際の方針、具体的なセキュリティ対策を統括する。次回は、人的資源…

＜前の投稿

次の投稿＞