情報セキュリティ対策基準(スタンダード)の作り方

sae
2022-09-20
2022-09-20

こんにちは、saeです。 

今回は、ISMSに準じた「対策基準」作成における考え方と基準について説明していきたいと思います。 

各項目を丁寧に解説していく予定ですので、かなり長い連載になるかと思いますが、 よろしくお願いします。 

なお、今回作成する「対策基準」は会社非公認であり実際の環境とは関係ありません! 

第1回 ISMSと対策基準について 

それでは、そもそもISMSとはなんでしょうか? 

これから解説するISMSは、国際規格であるISO/IEC 27001で定められている、情報セキュリティマネジメントシステム(ISMS)のことです。 

基本的には、このISO/IEC 27001を取得するためには、さまざまな準備が必要となるのですが、そのベースとなるのが「対策基準」です。 

では、この「対策基準」とはどのようなものでしょうか。 

これは、情報セキュリティポリシーの一部となります。 

情報セキュリティポリシーは、大きく3つの段階に分けることができます。 

基本方針(ポリシー)   
対策基準(スタンダード)
実施手順(プロシージャ)
     

 画像1

参照:総務「国民のための情報セキュリティサイト」

https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-3.html

次回は、なぜ「対策基準」が必要なのかについて解説します