こんにちは、saeです。
今回は、なぜ「対策基準」が必要なのかについて解説します。
会社のホームページでよく記載されている情報セキュリティポリシーは、「基本方針」となります。
その「基本方針」を受けてそれぞれの基準を定めたものが「対策基準」となります。
「対策基準」を具体的な手順までに落とし込んだのが、「実施手順」となります。
今回、なぜISMSに準じた「対策基準」なのでしょうか。
それは、ISMSを取得するための審査で、ISMSに準じた「対策基準」がないと
審査する人も、審査を受ける人も大変苦労するからです。
ISO/IEC 27001は、要求事項を明確に定めており、その規格構成に沿って審査が行われます。
ですから、この規格構成に記載されている項番や項目に合わせて、「対策基準」を
作成し、ISO/IEC 27001の要求事項に対して、このように対策していますよ!と明確にするわけです。
項目が一致していないと、都度どの要求事項に紐づいているのか説明が必要であり、
非常に多くの要求事項があるため、それだけで疲れてしまいます。
要求事項は以下の内容となります。
- 0項 序文
- 1項 適用範囲
- 2項 引用規格
- 3項 用語及び定義
- 4項 組織の状況
- 5項 リーダーシップ
- 6項 計画
- 7項 支援
- 8項 運用
- 9項 パフォーマンス評価
- 10項 改善
次回は、この要求事項について説明していきます。
