ISMS構築作業を進めるにあたって
ISMSの認証基準は、国際規格「ISO/IEC 27001」であり、日本語化された日本工業規格「JIS Q 27001」です。ここでは「JIS Q 27001」に基づいて話しを進めます。
ISMS認証取得のためには、認証基準である「JIS Q 27001」を充分に理解する必要があり、まずは、JIS Q 27001:2006「情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項」を入手していただく必要があります。
さらに、(財)日本情報処理開発協会(以下、JIPDEC)が発行する次の資料を入手してください。
・ISMSユーザーズガイド-JIS Q 27001:2006(ISO/IEC 27001:2005)対応
・ISMSユーザーズガイド-JIS Q 27001:2006(ISO/IEC 27001:2005)対応-リスクマネジメント編-
JIPDEC 情報マネジメントシステム推進センターのホームページの「組織の認証取得に関する基準・ガイドなど」→「ISMS認証取得に関する文書」のページよりダウンロードできます。
ISMS構築作業については、基本的には、上記の資料をよく読んでいただれば済む話なのですが、ここでは、ガイドラインや一般書籍には書かれていない作業上の要点などを掻い摘んで説明していきたいと思います。
そのため、JIS Q 27001:2006、および、ISMSユーザーズガイドをご覧になっていることを前提として、網羅的な記述とはなっていません。また、コンサルティング上のノウハウとして、あるいは、これまでご支援してきたお客様との守秘義務の関係上、詳しく示すことのできない部分もありますこと、ご容赦ください。
ご不明な点などありましたら、[お問い合せ]のページから何なりとお問い合わせください。Webサイト上では掲載しづらい事も、個別の回答の中でならお話しできることもあるかも知れません。
ISMS認証取得においては、情報セキュリティ対策を実施したり、マニュアルを作成するなどの形を整えること以上に、なぜ、そのような対策を講じたか?というプロセスが大切であることを充分に認識していただきたいと思います。
