 |
|
|
|
 |
|
 |
|
| プロジェクト発足では、組織図の作成・レイアウト図・ネットワーク図などの作成が必要となります。こうした作業を“可視化”することで効率的に進めることができるITツールをご紹介しています。 |
|
|
 |
|
ISO27001認証取得に先駆けた検討・準備の段階では、プロジェクトチームを編成し、さまざまなISO27001に関する情報収集などを行います。プロジェクトチーム立ち上げに際しては、情報セキュリティの知識のある者、情報システム部の責任者、また社内規程や文書に詳しい法務部に所属する者等で組織横断的に編成するのが良いでしょう。
プロジェクトチームは実運用組織に移行され、継続するセキュリティ組織として活動することが望まれます。コアメンバーは長期的にISO27001について関わることを前提に選出することが望まれます。 |
|
|
 |
 |
|
| ISO27001の構築段階に入りますと、プロジェクト運営においてもまた規格の要求事項を満たすためにも情報セキュリティ委員会等のセキュリティ組織の設置が必要となります。人選に当たっては、準備計画で編成した準備組織のメンバーを中核とし、実運用組織への移行を考慮して要員を選定します。既に導入済みのマネジメントシステムがあれば、その枠組みを活用することも考慮します。 |
|
 |
|
 |
|
ISMS適用範囲から除外する部門・範囲の詳細及びその理由も含め、事業・組織・その所在地・資産および技術の各特徴の観点から、ISMSの適用範囲及び境界を定義します。準備・計画段階でISMS適用範囲の大枠を決定し、ここではより明確に適用範囲と境界を決定します。優先順位や緊急性が高く、効果が期待でき、取組みが容易なところからスタートするのがよいとされます。
適用範囲の例として、データセンタ、XXX事業所、e−コマース事業部、YY研究所など。 |
|
|
 |
 |
|
| ISO27001認証基準では基本方針についての定めがあります。基本方針は、想定した読者にとって、適切で、利用可能で、かつ理解しやすい形で、組織全体にわたって利用者に知らせることが望ましいとされます。 |
|
|
 |
|
