体系的な仕組みの整備は、企業や組織が情報セキュリティの体制を構築し運用していくために必須です。
そのための標準的なフレームワークがISMSです。
しかし、ISMSを実際に適用していくためには、それぞれの企業や組織の特性に合わせて体制を構築運用していく必要があります。
そのためには、必要となる具体的対策を人・組織、物理、技術として実現しPDCAを回しながら改善していきます。
ISMSのベースとなる規格がISO/IEC27001で、これは国内規格であるJISQ27001として出されています。
ここでは、ISMSに基づく情報セキュリティマネジメントの体制構築と運用の概要を紹介します。
PDCAを回していく上でも関連するのが、体制構築についてです。
体制構築でまず始めに具体化すべきなのは「情報セキュリティポリシー」と管理体系の構築です。
これが、PDCAサイクルを回す際の計画(Plan)の部分に対応します。
情報セキュリティ管理体系の構成
(→ :対応するドキュメント体系)
Why 基本方針(ポリシー) → 情報セキュリティ基本方針、情報セキュリティポリシー
What 対策基準(スタンダード) → 各種社内規定類、教育・訓練体系
How 実施手順(プロシージャ) → 利用者マニュアル、運用マニュアル、各種手順書等
基本方針とは企業、組織が業務遂行上必要と考える「情報セキュリティ」に対する取り組みを明示し、具体的な実施方針を経営トップとして内外に向けて宣言するところです。
何にどう取り組み、誰が責任者なのかを明確にします。
また、ステークホルダーや社会に対する責任を明確にし、その基となる法令や業界標準についても宣言することになります。
ここは「なぜ情報セキュリティに取り組むか?」ということを宣言する部分なのです。
通常、社外への表明を「情報セキュリティ基本方針」として行なうとともに、より具体的な取り組み方針を社内向けに「情報セキュリティポリシー」として作成することが行なわれます。
この基本方針に基づいて、具体的に何をどう実行するかを明示する部分が対策基準です。
就業規定や人事規定あるいは各種業務に関わる社内規定として明示される部分です。
いわば社員として守るべきルール、責任の範囲を明確にするところのなです。
これらを実行してもらうための教育や、訓練体系についても明らかにしておく必要があります。
それらが、具体的な情報資産に対してどのような管理策をどのように適用し運用管理していくかの手順が実施手順としてまとめられている必要があります。
情報セキュリティポリシー及びその実施手順を策定するにあたり、具体的には下記の作業ステップを踏んでいくことになります。
①適用する範囲の特定と情報資産の棚卸し
②リスク分析と対応する管理策の決定及び対策基準の作成
③管理策の具体的実装計画と対応する実施手順の作成