情報セキュリティ対策基準(スタンダード)の作り方(4)

sae
2022-12-02
2022-12-02

こんにちは、saeです。 

今回は、前回に引き続きISO/IEC 27001の要求事項の概要について解説します。 

項目8: 運用  

     この項目では、前の項目で取り上げた計画とプロセスの実施について記載 

されています。 

決定した活動の実施及び情報セキュリティ目的の達成について記載されています。変更は、計画したものであるか意図しないものであるかにかかわらず、ここで考慮対象とし、これらの変更によって生じた、ISMS における結果も考慮しなければなりません。 

また、あらかじめ定めた間隔で情報セキュリティリスクアセスメ ントを実施すること、及びこれらの結果を記録するために文書化 した情報を保持する必要性についても記載されています。 

さらに、リスク対応計画の実施についても記載されており、文書化した情報としてこれらの結果を保持する必要性についても記載 されています。 

 

項目 9: パフォーマンス評価 

この項目では、ISMS の有効性を維持するために、ISMS を監視し、 測定し、分析し、評価することについて記載されています。この項目は、組織が、継続的な改善を行うために、規格の目的に関連して組織のパフォーマンスを継続的に評価する際に役立ちます。 

情報セキュリティの有効性を評価するために必要な情報、採用する方法、及び分析と報告を実施する時期について、考慮しなければなりません。 

マネジメントレビューと内部監査の両方を実施しなければなりません。この両方をあらかじめ定めた間隔で実施し、その結果を文書化した情報として保持しなければなりません。 

 

項目10:改善 

この項目は、是正処置の要求事項に関連しています。不適合に対処し、修正し、処置をとり、その結果に対処する方法を示さなければなりません。また、類似の不適合の有無又はそれが発生する可能性を示し、その不適合が他のところで発生しないようその 原因を除去する方法を示さなければなりません。 

ISMS の適切性、妥当性及び有効性を実証することを含め、ISMS の継続的改善を示すための要求事項も記載されています。ただし、 これを実施するかどうかは組織側で決定します。