ISO27001 > ISO27001-2022 > 4. 組織の状況から10. 改善 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO27001 > 製造業 ISO27001 | サイトマップ
---
4. 組織の状況
「4.1 組織及びその状況の理解」
組織の外部及び内部の課題を決定する要求事項が記載されており、これは、予防処置に対応する要求事項といわれています。
「6.1 リスク及び機会に対処する活動」においても、広い観点でマネジメントシステムが、その意図した成果を達成することに取り組むことを求めています。
「4.2 利害関係者のニーズ及び期待の理解」
利害関係者の要求事項を把握することが明確化することが要求事項として用意されており、この要求事項には、法的、規制要求事項、契約上の義務も含めても良いとされています。
「4.3 情報セキュリティマネジメントシステムの適用範囲の決定」
適用範囲の決定には、
「4.1 外部及び内部の課題」では、SWOT分析などの手法を用いて行うこともあり得ます。
「4.4 情報セキュリティマネジメントシステム」
要求事項に従い、必要なプロセス及びそれらの相互作用を含むISMS を確立し、実施し、維持し、かつ、継続的に改善します。
---5. リーダーシップ
この箇条では、ISMS におけるトップマネジメントの具体的な役割が要求事項となっています。
「5.1 リーダーシップ及びコミットメント」「5.2 方針」「5.3 組織の役割、責任及び権限」で構成されています。
「5.1 リーダーシップ及びコミットメント」
トップマネジメントの果たすべき重要な役割の 1 つにコミットメントがあります。
「コミットメント」は、執行権限を有するトップマネジメントにのみ実施する事が許されています。
「5.2 方針」
information security policy( 情報セキュリティ方針)を確立することが記載されています。
「5.3 組織の役割、責任及び権限」
組織が自らの情報セキュリティ目的に向かって活動するためには、役割を決め、それに対する責任及び権限を割り当てることは重要です。
トップマネジメントが情報セキュリティに関連する役割を決め、それに対する責任と権限を割り当てたことを組織内に周知する必要があります。
---6.計画
情報セキュリティ方針の確立に関する部分となります。
「6.1 リスク及び機会への取り組み」
ISMS の計画を策定するときに、組織は、リスクだけでなく、「機会」も考慮することが求められています。
その対象として、「b ) 望ましくない影響を防止、又は低減する」が用意されており、これが、予防処置に対応する部分の 1 つになります。
「6.1.2情報セキュリティリスクアセスメント」
組織は、情報セキュリティのリスクアセスメントプロセスを定義しなければならない、とされています。
「6.1.3 情報セキュリティリスク対応」
リスク対応の要求事項であり、これまでの要求事項と大きな相違はありません。
組織は、情報セキュリティリスク対応プロセスに関する文書化された情報を保持しなければならない、とされています。
「6.2 情報セキュリティ目的及びそれを達成するための計画 策定」
関連する部門及び階層において、情報セキュリティ目的を確立することと、情報セキュリティ目的には、a )から、l )までの事項を満たすことが要求事項になっています。
---7. 支援
7.支援のプロセスでは、効果的な ISMS を確立し、実施し、維持し、かつ継続的に改善するために必要な支援の詳細を記載しています。
7.1 資源
トップマネジメントの重要な役割の 1つは、「人」、「物」、「金」、「情報」といった資源の提供です。
7.2 力量
7.3 認識
7.3 では、会社の管理下で働く人々が、情報セキュリティ方針や ISMS の有効性に対する自らの貢献、ISMS 要求事項に適合しないことの意味を認識することを規定しています。
7.4 コミュニケーション
7.4 では、内外関係者との意思疎通が求められています。
コミュニケーションは、メール・会議・Web 掲載など多岐にわたります。
7.5 文書化した情報
「7.5 文書化された情報」には、文書化された情報の作成、更新、管理な どの要求事項が記載されています。
---8. 運用
この箇条は、PDCA サイクルの「Do 」に対応するところです。
「8.1 運用の計画及び管理」
組織は、必要なプロセスを計画し、実施し、かつ管理します。
「8.2 情報セキュリティリスクアセスメント」
8.2 では、情報セキュリティリスクアセスメントを 6.1.2 a)で確立した基準に従って、あらかじめ定めた間隔、また必要な都度(重大な変更が提案されたか若しくは重大な変化が 生じた場合)、実施することが要求されています。
「8.3 情報セキュリティリスク対応」
8.3 では、8.2 での情報セキュリティリスクアセスメントの結果により、対策の必要のあるリスクへの対応策を実施すること、及び対応結果の文書化した情報を保持することを規定しています。
---9. パフォーマンス評価
この箇条は、PDCA サイクルの「Check 」に対応するところです。
「9.1 監視、測定、分析及び評価」
監視及び測定が必要な対象はもとより、監視、測定、分析及び評価の方法、実施時期、
実施者、分析及び評価の時期、実施者などです。
~
マネジメントシステムとして何が必要なのか、今一度本物のコンサルタントに指導を受けると良いでしょう。
「9.2 内部監査」
内部監査の手順を含む監査プログラムについて文書化が要求されています。
「9.3 マネジメントレビュー」
マネジメントレビューのインプット、アウトプットが定められています。
---10. 改善
この箇条は、PDCA サイクルの「Act 」に対応するところです。
「10.1 不適合及び是正処置」
是正処置の要求事項は大きな変更はありません。
「 10.2 継続的改善」
継続的改善は continual improvement の訳です。continual ということから、 時間的に切れ目なく連続である必要はなく、断続的でも継続して行われることを意味しています。
---
~
~
~
~関連リンク
情報セキュリティマネジメントシステム コンサルティング
最新版での新規認証取得支援のコンサルティング、システム運用保守支援、改善支援、内部監査代行サービスなどを行っております。
---
4. 組織の状況 
「4.1 組織及びその状況の理解」
組織の外部及び内部の課題を決定する要求事項が記載されており、これは、予防処置に対応する要求事項といわれています。
「6.1 リスク及び機会に対処する活動」においても、広い観点でマネジメントシステムが、その意図した成果を達成することに取り組むことを求めています。
「4.2 利害関係者のニーズ及び期待の理解」
利害関係者の要求事項を把握することが明確化することが要求事項として用意されており、この要求事項には、法的、規制要求事項、契約上の義務も含めても良いとされています。
「4.3 情報セキュリティマネジメントシステムの適用範囲の決定」
適用範囲の決定には、
- 「4.1 外部及び内部の課題」 と
- 「4.2 利害関係者のニーズ及び期待の理解」
「4.1 外部及び内部の課題」では、SWOT分析などの手法を用いて行うこともあり得ます。
「4.4 情報セキュリティマネジメントシステム」
要求事項に従い、必要なプロセス及びそれらの相互作用を含むISMS を確立し、実施し、維持し、かつ、継続的に改善します。
---
5. リーダーシップ
この箇条では、ISMS におけるトップマネジメントの具体的な役割が要求事項となっています。
「5.1 リーダーシップ及びコミットメント」「5.2 方針」「5.3 組織の役割、責任及び権限」で構成されています。
「5.1 リーダーシップ及びコミットメント」
トップマネジメントの果たすべき重要な役割の 1 つにコミットメントがあります。
「コミットメント」は、執行権限を有するトップマネジメントにのみ実施する事が許されています。
「5.2 方針」
information security policy( 情報セキュリティ方針)を確立することが記載されています。
「5.3 組織の役割、責任及び権限」
組織が自らの情報セキュリティ目的に向かって活動するためには、役割を決め、それに対する責任及び権限を割り当てることは重要です。
トップマネジメントが情報セキュリティに関連する役割を決め、それに対する責任と権限を割り当てたことを組織内に周知する必要があります。
---
6.計画
情報セキュリティ方針の確立に関する部分となります。
「6.1 リスク及び機会への取り組み」
ISMS の計画を策定するときに、組織は、リスクだけでなく、「機会」も考慮することが求められています。
その対象として、「b ) 望ましくない影響を防止、又は低減する」が用意されており、これが、予防処置に対応する部分の 1 つになります。
「6.1.2情報セキュリティリスクアセスメント」
組織は、情報セキュリティのリスクアセスメントプロセスを定義しなければならない、とされています。
「6.1.3 情報セキュリティリスク対応」
リスク対応の要求事項であり、これまでの要求事項と大きな相違はありません。
組織は、情報セキュリティリスク対応プロセスに関する文書化された情報を保持しなければならない、とされています。
「6.2 情報セキュリティ目的及びそれを達成するための計画 策定」
関連する部門及び階層において、情報セキュリティ目的を確立することと、情報セキュリティ目的には、a )から、l )までの事項を満たすことが要求事項になっています。
---
7. 支援
7.支援のプロセスでは、効果的な ISMS を確立し、実施し、維持し、かつ継続的に改善するために必要な支援の詳細を記載しています。
7.1 資源
トップマネジメントの重要な役割の 1つは、「人」、「物」、「金」、「情報」といった資源の提供です。
7.2 力量
- 必要とする力量と要員の力量とのギャップを分析し、必要な教育・訓練と経験等で力量をもたせます。
- 一連のこれらの活動の記録を証拠として残します。
7.3 認識
7.3 では、会社の管理下で働く人々が、情報セキュリティ方針や ISMS の有効性に対する自らの貢献、ISMS 要求事項に適合しないことの意味を認識することを規定しています。
7.4 コミュニケーション
7.4 では、内外関係者との意思疎通が求められています。
コミュニケーションは、メール・会議・Web 掲載など多岐にわたります。
7.5 文書化した情報
「7.5 文書化された情報」には、文書化された情報の作成、更新、管理な どの要求事項が記載されています。
---
8. 運用
この箇条は、PDCA サイクルの「Do 」に対応するところです。
「8.1 運用の計画及び管理」
組織は、必要なプロセスを計画し、実施し、かつ管理します。
「8.2 情報セキュリティリスクアセスメント」
8.2 では、情報セキュリティリスクアセスメントを 6.1.2 a)で確立した基準に従って、あらかじめ定めた間隔、また必要な都度(重大な変更が提案されたか若しくは重大な変化が 生じた場合)、実施することが要求されています。
「8.3 情報セキュリティリスク対応」
8.3 では、8.2 での情報セキュリティリスクアセスメントの結果により、対策の必要のあるリスクへの対応策を実施すること、及び対応結果の文書化した情報を保持することを規定しています。
---
9. パフォーマンス評価
この箇条は、PDCA サイクルの「Check 」に対応するところです。
「9.1 監視、測定、分析及び評価」
監視及び測定が必要な対象はもとより、監視、測定、分析及び評価の方法、実施時期、
実施者、分析及び評価の時期、実施者などです。
~
マネジメントシステムとして何が必要なのか、今一度本物のコンサルタントに指導を受けると良いでしょう。
「9.2 内部監査」
内部監査の手順を含む監査プログラムについて文書化が要求されています。
「9.3 マネジメントレビュー」
マネジメントレビューのインプット、アウトプットが定められています。
---
10. 改善
この箇条は、PDCA サイクルの「Act 」に対応するところです。
「10.1 不適合及び是正処置」
是正処置の要求事項は大きな変更はありません。
「 10.2 継続的改善」
継続的改善は continual improvement の訳です。continual ということから、 時間的に切れ目なく連続である必要はなく、断続的でも継続して行われることを意味しています。
---
~
~
~
~
関連リンク
情報セキュリティマネジメントシステム コンサルティング
最新版での新規認証取得支援のコンサルティング、システム運用保守支援、改善支援、内部監査代行サービスなどを行っております。
コメントをかく