ISMSを始めて計画するときは、下記のような手順を取ります。
1.情報セキュリティ基本方針の確立
最初に基本方針を確立するための体制を確立します。各部門から責任者に参加してもらい、情報セキュリティ委員会を組織します。この委員会で情報セキュリティ基本方針を検討し、最終的に経営者の承認を得て確立することが重要です。
また、組織の規模や状況により情報セキュリティポリシの適用範囲を全社でなく、一部の組織に限定して情報セキュリティポリシを作成し、徐々に全社に拡大する方法も検討します。
2.リスク分析、リスク対応に基づいた対策の検討
組織における情報資産、これらに存在する脅威、脆弱性について識別します(リスク分析)。これにより守るべき情報資産とそのリスクが明確になり、このリスクをどのようにするか(リスク対応)を検討します。
これにより、リスクを低減させると判断した事項について具体的なセキュリティ対策を検討します。リスクをそのまま残す(残留リスク)と判断したものについては、その判断理由を明確にし、そのリスクが現実化した時の対処方法について事前に検討し、まとめることが必要です。
3.情報セキュリティ対策基準の確立
具体的な対策を情報セキュリティ対策基準(規程)としてまとめます。情報セキュリティ対策基準では記述できないような詳細な部分は、情報セキュリティ対策手順書・規程などで詳細化する必要があります。
情報セキュリティ対策基準および残留リスクも最終的には経営者の承認を経て情報セキュリティ対策基準を確立することが必要です。
【補足】————————————————————————-
- 情報セキュリティ基本方針、対策基準のことを「情報セキュリティポリシー」と呼びます。このあたりに関しては、下記リンクを参照ください。
- リスク分析、リスク対応に関しては下記リンクを参照ください。具体例を交えて説明しています。