Embed Size (px)
Citation preview
株式会社大寛組 ISMS基本マニュアル
管 理 部 門 総務部
制 定 日 2014年 08月 01日
改 定 日
版 番 号 第 1-0版
ISMS基本マニュアル
株式会社大寛組
株式会社大寛組 ISMS基本マニュアル
管 理 部 門 総務部
制 定 日 2014年 08月 01日
改 定 日
版 番 号 第 1-0版
目 次
0.目的 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 1
1.適用範囲 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 1
2.引用規格 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 1
3.用語及び定義 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 2
4.組織の状況
4.1 組織及び状況の把握 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 2
4.2 利害関係者のニーズ及び期待の把握 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 2
4.3 情報セキュリティマネジメントシステムの適用範囲の決定 ・・・・・・・・・・・・ 2
4.4 情報セキュリティマネジメントシステム ・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 2
5.経営者の責任
5.1 経営者の責務事項 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 2
5.2 方針 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 3
5.3 組織の役割、責任及び権限 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 3
6.計画
6.1 リスク及び機会に対処する活動 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 3
6.1.1 一般 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 3
6.1.2 情報セキュリティリスクアセスメント・・・・・・・・・・・・・・・・・・・・・・・・・・ 3
6.1.3 情報セキュリティリスク対応 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 4
6.2 情報セキュリティ目的及びそれを達成するための計画策定・・・・・・・・・・・・・・ 4
7.支援
7.1 資源 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 5
7.2 スキル ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 5
7.3 教育 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 5
7.4 コミュニケーション ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 5
7.5 文書化した情報 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6
7.5.1 一般 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6
7.5.2 作成及び更新 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6
7.5.3 文書化した情報の管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6
8.運用
8.1 運用の計画及び管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6
8.2 情報セキュリティリスクアセスメント・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7
8.3 情報セキュリティリスク対応 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7
9.評価
9.1 監視、測定、分析及び評価 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7
9.2 内部監査 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7
9.2.1 内部監査の手順 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7
9.3 マネジメントレビュー ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7
株式会社大寛組 ISMS基本マニュアル
管 理 部 門 総務部
制 定 日 2014年 08月 01日
改 定 日
版 番 号 第 1-0版
10.改善
10.1 不適合及び是正処置 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 8
10.2 継続的改善 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 8
株式会社大寛組 ISMS基本マニュアル
管 理 部 門 総務部
制 定 日 2014年 08月 01日
改 定 日
版 番 号 第 1-0版
1
0.目的
本書は、株式会社大寛組(以下「当社」という)の情報セキュリティマネジメントシステム(以
下「ISMS」という)を確立、運用、監視、レビュー、維持及び継続的な改善を実施するため
の基本的な事項について定めたものである。
1.適用範囲
当社の事業活動と他社から提供を受けているサービスの契約内容や責任分界点等から適用
範囲は以下のとおりとする。
なお、適用範囲の詳細については、「ISMS適用範囲書」に記述する。
(1)事業所名及び所在地
事業所名 : 株式会社大寛組
所 在 地 : 沖縄県那覇市東町 16-9
施設範囲 : 当社の事務所内とする
(2)情報資産
① 情報
② ソフトウェア
③ ハードウェア
④ 設備
⑤ サービス
⑥ 要員
2.引用規格
(1)国際規格
ISO/IEC 27000:2014
ISO/IEC 27001:2013
ISO/IEC 27002:2013
(2)国内規格
JIS Q 27000:2014
「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」
JIS Q 27001:2014
「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」
JIS Q 27002:2014
「情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範」
株式会社大寛組 ISMS基本マニュアル
管 理 部 門 総務部
制 定 日 2014年 08月 01日
改 定 日
版 番 号 第 1-0版
2
3.用語及び定義
本書は、ISO/IEC27000(JIS Q 27000:情報技術-セキュリティ技術―情報マネジメントシステ
ム―用語)で規定されている用語及び定義を適用する。
4.組織の状況
4.1 組織及び状況の把握
当社はISMSの達成に影響を与える外部及び内部の課題を以下の方法で確認する。
(1)年度初めに管理責任者が「ISMS基本調査票」により調査する
(2)「ISMS基本調査票」は、社長の承認を得る
4.2 利害関係者のニーズ及び期待の把握
当社は、ISMSに関連する利害関係者(システムを受託している組織)及びその情報セキ
ュリティに関連する要求事項を以下の方法で確認する。
(1)年度初めに管理責任者が「ISMS基本調査票」により調査する
(2)「ISMS基本調査票」は、社長の承認を得る
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
当社は、ISMSの適用範囲を定めるために、境界及び適用可能性を決定する。
この適用範囲を決定する時は、以下の事項を考慮し、年度初めに管理責任者が「ISMS適
用範囲書」の作成及び見直しを行い、社長の承認をもって決定する。
(1)4.1に規定する外部及び内部の課題
(2)4.2に規定する要求事項
(3)当社が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係
また、年度初めに管理責任者は「ISMS年間計画書」を作成し、関係者に配付する。
4.4 情報セキュリティマネジメントシステム
当社は、規格要求事項に従って、ISMSを確立、実施、維持及び継続的に改善を行う。
5.経営者の責任
5.1 経営者の責務事項
社長は、以下に示す事項により、ISMSに関する経営者の責務事項を明確にする。
(1)情報セキュリティ基本方針を確立し、当社の戦略的な方向性と両立させる。
(2)業務内容にISMS要求事項の内容を組み込む。
(3)ISMSに必要な資源を利用可能にする。
(4)情報セキュリティマネジメントの効果及びISMS要求事項への適合の重要性について、
教育訓練を通じて周知する。
(5)ISMSの意図した成果を達成することを明確にする。
(6)ISMSの有効性に貢献するよう従業者を指揮し、支援する。
(7)継続的改善を促進する。
(8)管理者の役割を支援する。
株式会社大寛組 ISMS基本マニュアル
管 理 部 門 総務部
制 定 日 2014年 08月 01日
改 定 日
版 番 号 第 1-0版
3
5.2 方針
社長は、以下の事項を満たしたISMSの基本的な方針を確立し、マネジメントレビューで
見直しの必要性を検討する。
(1)当社の事業目的に対して適切である。
(2)情報セキュリティ目的(6.2参照)を含む又は情報セキュリティ目的を設定するための枠
組みを示す。
(3)情報セキュリティに関する適用可能な要求事項を満たすことへの責務事項。
(4)ISMSの継続的改善への責務事項。
情報セキュリティ基本方針に関する運用は、以下の通りとする。
(5)社長は、文書化した情報として「情報セキュリティ基本方針(付表 1)」を定める。
(6)「情報セキュリティ基本方針」は掲示及び教育訓練を通して組織内に周知する。
(7)「情報セキュリティ基本方針」を利害関係者が入手可能となるよう当社のホームページ
で開示する。
5.3 組織の役割、責任及び権限
社長は、情報セキュリティに関連する役割に対して、責任及び権限を割り当て、周知するこ
とを「ISMS実施マニュアル」に定める。
また、以下の事項に対して、管理責任者に権限を割り当てる。
(1)ISMSが、この規格の要求事項に適合することを明確にする。
(2)ISMSの状況を社長に報告する。
6.計画
6.1 リスク及び機会に対処する活動
6.1.1 一般
ISMSの計画を策定する際、当社は、4.1で特定した課題及び 4.2で特定した要求事項を
考慮し、以下の事項のために対処する必要があるリスク及び機会を「情報資産リスクアセスメ
ント手順書」に従い決定する。
(1)意図した成果を達成できることを明確にする。
(2)望ましくない影響を防止又は低減する。
(3)継続的改善を達成する。
(4)「情報資産リスクアセスメント手順書」で決定したリスク及び機会に対処する活動。
(5)その活動のISMSへの展開及び実施。
(6)その活動の有効性の評価(マネジメントレビューで実施)。
6.1.2 情報セキュリティリスクアセスメント
当社は、以下の事項を行うために、情報セキュリティリスクアセスメントのプロセスを「情
報資産リスクアセスメント手順書」に定め、適用する。
(1)情報セキュリティのリスクアセスメント実施基準、リスク受容基準の確立・維持。
① リスク受容基準。
② 情報セキュリティリスクアセスメントを実施するための基準。
(2)繰り返し実施した情報セキュリティリスクアセスメントに一貫性及び妥当性があり、
比較可能な結果を生み出すことを明確にする
(3)情報セキュリティリスクを特定する
株式会社大寛組 ISMS基本マニュアル
管 理 部 門 総務部
制 定 日 2014年 08月 01日
改 定 日
版 番 号 第 1-0版
4
① ISMSの適用範囲内における情報の機密性、完全性、可用性の喪失に伴うリス
クを特定するために、情報セキュリティリスクアセスメントのプロセスを適用する。
② これらのリスク所有者を特定する。
(4)情報セキュリティリスクを分析する
① 6.1.2(3)①で特定されたリスクが実際に生じた場合に起こり得る結果につい
てアセスメントを行う。
② 6.1.2(3)①で特定されたリスクの現実的な起こりやすさについてアセスメン
トを行う。
③ リスクレベルを決定する。
(5)情報セキュリティリスクを評価する。
① リスク分析の結果と 6.1.2.(1)で確立したリスク基準とを比較する。
② リスク対応のために、分析したリスクの優先順位付けを行う。
6.1.3 情報セキュリティリスク対応
当社は、以下の事項を行うために、情報セキュリティリスク対応のプロセスを「情報資産
リスクアセスメント手順書」に定め、適用する。
(1)リスクアセスメントの結果を考慮して、適切な情報セキュリティリスクの対応を行
う。
(2)情報セキュリティリスクの対応に必要な全ての管理策(JIS Q 27001付属書A又は
任意の情報源の中から管理策を決定することも可能)を決定する。
(3)6.1.3.(2)で決定した管理策と附属書Aの管理策を比較し、必要な管理策が見落
とされていないことを検証する。
(4)次の事項を含む「適用宣言書」を作成する。
① リスク対応の管理策、並びに選択理由。
② 現在実施している管理策。
③ 附属書Aに規定する管理策を除外した理由。
(5)情報セキュリティリスク対応計画を策定する。
(6)情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受
容について、リスク所有者及び社長の承認を得る。
当社は、情報セキュリティリスク対応のプロセスについて、文書化した情報を「情報
資産リスクアセスメント手順書」に従い見直し、最新版管理を行う。
6.2 情報セキュリティ目的及び達成するための計画策定
管理責任者は、関連する部門及び階層において、情報セキュリティ目的を達成するために「I
SMS目的達成計画書」で明確にする。
情報セキュリティ目的は、以下の通りとする。
(1)情報セキュリティ基本方針と整合している。
(2)(実行可能な場合)測定可能である。
(3)適用される情報セキュリティ要求事項、リスクアセスメント及びリスク対応の結果を
考慮に入れる。
(4)当社の関係者に周知する。
(5)必要に応じて更新する。
株式会社大寛組 ISMS基本マニュアル
管 理 部 門 総務部
制 定 日 2014年 08月 01日
改 定 日
版 番 号 第 1-0版
5
当社は、情報セキュリティ目的を文書化した情報として保持する。また、情報セキュ
リティ目的の達成方法を計画する際、次の事項を明確にする。
(6)実施事項
(7)必要な資源
(8)責任者
(9)達成期限
(10)結果の評価方法
7.支援
7.1 資源
当社は、ISMSの確立、実施、維持及び継続的改善に必要な資源を決定し、提供する。
7.2 スキル
管理責任者は、以下の事項を実施する。
(1)情報セキュリティ成果に影響を与える業務を行う従業者に必要なスキルを「ISMS
スキル管理表」で管理する
(2)適切な教育、訓練、経験に基づいて、従業者がスキルを備えることを明確にするため
に、「教育訓練計画書」で教育訓練の計画を立案する
(3)該当する場合には、必要なスキルを身につけるための教育訓練を行い、その有効性を
「教育訓練報告書」及び次年度作成の「ISMSスキル管理表」の中で前年度と比較し、
評価を行う
(4)教育に関する文書化した情報は、適切に保管する
7.3 教育
従業者は、以下の事項に関して認識を持つための教育を「教育訓練計画書(教育訓練管理規
定)」に従い、受講する。
(1)情報セキュリティ基本方針。
(2)ISMSに関与することの重要性や必要性。
(3)ISMS要求事項に適合することの意味。
7.4 コミュニケーション
当社は、各階層間及び各部門間のコミュニケーションを確実に行うために、主に下記
会議を実施する。また、下記会議の他にも必要に応じて随時実施する。
全 体 頻 度 参加者
部課長会議 毎週月曜日 各部課長
所長会議(工事部) 月1回 専務、部長
各現場所長
朝礼 毎日 現場代理人
7.5 文書化した情報
7.5.1 一般
当社のISMSは、規格に準拠した文書及びISMSの有効性のために必要であると決定
した以下の文書を管理する。
株式会社大寛組 ISMS基本マニュアル
管 理 部 門 総務部
制 定 日 2014年 08月 01日
改 定 日
版 番 号 第 1-0版
6
(1)情報セキュリティ基本方針
(2)ISMS基本マニュアル
(3)ISMS実施マニュアル
(4)情報資産リスクアセスメント手順書
(5)入退室管理手順書
(7)事業継続手順書
7.5.2 作成及び更新
管理責任者は、文書化した情報を作成及び更新する際、以下の事項に留意し、管理を行う。
(1)適切な識別及び記述。(タイトル、制定改廃日、管理部門、版数等)
(2)適切な形式(言語、図表等)及び媒体。(紙、電子媒体等)
(3)適切性、妥当性に関する適切なレビュー及び承認(詳細な手順は以下を参照)
①ISMS関連文書は、資産管理者が作成し、管理責任者がレビューを行い、社
長が承認を行う。
②文書の制改廃については、「文書管理規定」にて手続を行う。
③文書の定期見直しは「ISMS年間計画書」にある時期に実施する。
7.5.3 文書化した情報の管理
ISMSの規格で要求されている文書化した情報は、以下の事項を明確にし、管理責任者
が管理を行う。
(1)文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した
状態にするために、管理室内のキャビネットで保管する。
(2)文書化した情報は、管理室内のキャビネットで保管することで保護する。(機密
性の喪失、不適切な使用及び完全性の喪失からの保護等)
文書化した情報の管理に当たり該当する場合には、次の事項に取り組む。
(3)配付、文書の公開(アクセス)、検索及び利用
(4)読みやすさが保たれることを含む、保管及び保存
(5)最新版の管理
(6)保持(旧版と表示)及び廃棄(シュレッダー処理)
ISMSの計画及び運用のために必要と判断した外部資料を「外部文書台帳」で特定し、
管理を行う。
8.運用
8.1 運用の計画及び管理
当社は、情報セキュリティ要求事項を満たすため、及び6.1で決定した活動を行うために、
必要なプロセスを計画、実施し、管理する。
また、6.2で決定した情報セキュリティ目的を達成するため、「ISMS目的達成計画書」
に基づき管理を行う。
さらに、プロセスが計画通りに実施された文書を保管するとともに、変更によって生じた結
果をレビューする。必要に応じて、有害な影響を軽減する処置を「是正・予防処置の手順(付
表 3)」に準拠して管理を行う。
当社は、外部委託したプロセスについて「ISMS実施マニュアル」に準拠して管理を行う。
株式会社大寛組 ISMS基本マニュアル
管 理 部 門 総務部
制 定 日 2014年 08月 01日
改 定 日
版 番 号 第 1-0版
7
8.2 情報セキュリティリスクアセスメント
当社は、「情報資産リスクアセスメント手順書」に従い、定期的又は重大な変更・変化が生
じた場合及び提案された場合に、6.1.2.(1)で確立した基準により、情報セキュリティリスクア
セスメントを実施し、結果を文書化し保管する。
8.3 情報セキュリティリスク対応
当社は、情報セキュリティリスク対応計画を「ISMS実施マニュアル」等に従い実施し、
結果を文書化し保管する。
9.評価
9.1 監視、測定、分析及び評価
当社は、情報セキュリティの成果及びISMSの有効性を以下の事項について評価し、監視、
測定結果の証拠を文書化し保管する。
(1)当社が必要とする情報セキュリティプロセス及び管理策を含む監視、測定の対象を「日
常点検表」に記述する
(2)監視、測定、分析及び評価の方法は以下のとおり
① 監視、測定の実施時期は、「ISMS年間計画書」による
② 監視、測定の実施者は、社長が指名したものとする
③ 監視、測定結果の分析及び評価の時期は、マネジメントレビュー前とする
④ 監視、測定結果の分析及び評価の実施者は社長が指名したものとし、管理責任者の
承認を得る。
9.2 内部監査
当社は、ISMSの管理目的、管理策、プロセス及び手順について、以下の事項を明確にす
るために、「ISMS年間計画書」に基づき、内部監査を実施する。
(1)情報セキュリティに関して、当社が規定した要求事項に適合していること
(2)ISO/IEC 27001:2013、JIS Q 27001:2014の要求事項に適合していること
(3)ISMSが有効に実施され、維持されているか確認する
9.2.1 内部監査の手順
当社は、以下の事項を「内部監査の手順(付表 3)」に準拠して内部監査を行う。
(1)頻度、方法、責任及び計画に関する要求事項及び報告を含む、監査プログラムの
計画、確立、実施及び維持。監査プログラムは、関連するプロセスの重要性及び
前回までの監査の結果を考慮に入れる
(2)各監査について、監査基準及び監査範囲を明確にする
(3)監査プロセスの客観性及び公平性を確保する監査員を選定し、監査を実施する
(4)監査の結果を関連する管理者に報告する
(5)監査プログラムの実施及び監査結果の証拠として、文書化し保管する
9.3 マネジメントレビュー
社長は、当社のISMSが適切、妥当かつ有効であることを明確にするため、「マネジメン
トレビュー運用規定」に基づき、ISMS全体をレビューする。
株式会社大寛組 ISMS基本マニュアル
管 理 部 門 総務部
制 定 日 2014年 08月 01日
改 定 日
版 番 号 第 1-0版
8
マネジメントレビューは、以下の事項を考慮し、管理責任者が「マネジメントレビュー議事
録」にインプット情報を整理する。
(1)前回までのマネジメントレビューの結果・処置の状況。
(2)情報セキュリティに関連する法令等及び外部・内部の情勢(課題)の変化。
(3)次に示す傾向を含めた、情報セキュリティに関する結果
① 不適合及び是正処置
② 監視及び測定の結果
③ 監査結果
④ 情報セキュリティ目的の達成
(4)利害関係者からの意見
(5)リスクアセスメントの結果及びリスク対応計画の状況
(6)継続的改善の機会
マネジメントレビューからのアウトプットは、管理責任者が「マネジメントレビュー
議事録」に指示事項を整理し、継続的改善の機会及びISMSのあらゆる変更の必要性
に関する決定を社長が行うとともに、結果を証拠として、文書化し保管する。
また、管理責任者は、その指示事項を「マネジメントレビュー管理表」にて進捗管理
を行う。
10.改善
10.1 不適合及び是正処置
当社は、不適合が発生した場合、「是正・予防処置の手順(付表 2)」に準拠し、以下の事項
を実施する。
(1)不適合に対処し、該当する場合には、必ず次の事項を行う
① 不適合を管理し、修正するための処置をとる
② 不適合によって起こった結果に対処する
(2)不適合が再発又は他のところで発生しないようにするため、不適合の原因を除去するた
めの処置をとる必要性を評価する
① 不適合のレビュー
② 不適合の原因の明確化
③ 類似の不適合の有無、又は発生する可能性の明確化
(3)必要な処置を実施する
(4)是正処置の有効性をレビューする
(5)必要な場合には、ISMSの変更を行う
是正処置は、検出された不適合のもつ影響に応じたものとし、以下に示す事項の証拠として、
文書化した情報を保管する。
(1)不適合の性質及び処置
(2)是正処置の結果
10.2 継続的改善
当社は、ISMSの適切性、妥当性及び有効性を本書に従い、継続的な改善を実施す
るとともに、「ISMS年間計画書」に基づき、これを行う。
情報セキュリティ基本方針(付表1)
情報セキュリティ基本方針
当社の建設業務おいて、お客様からお預かりした情報資産と当社の持つ情報資産に対
して、適切なセキュリティ対策を実施し、紛失・盗難・破壊・不正使用から保護する
必要がある。これを実現するために、ここに「情報セキュリティ基本方針」を定め、
当社が保有する情報資産の適切な保護対策を実施する。
経営者を含む全従業員は、本趣旨を理解し、当社のセキュリティマネージメントシス
テムを熟知し、遵守しなければならない。
1.情報セキュリティに関する役割と責任権限を定め、組織的に運用する体制を確立す
る。
2.当施設の職員及び協力会社は本情報セキュリティ基本方針に関連する規定、法令等
を遵守し、責任ある行動をとる事とし、その認識を高めるための教育訓練を実施
(受講)する。
3.情報資産が適切に管理されていることを継続的に監視する。
4.情報資産に対する脅威と脆弱性を識別し、管理策を考慮したリスク対応を評価する
仕組みを確立し適切な情報セキュリティ対策を講じ、事故、災害及び利用妨害か
ら保護する。
5.情報セキュリティの内部監査を定期的に実施する。情報セキュリティの有効性、順
守状況の評価を行い、必要に応じて改善を行う。
6.当施設の事業継続を阻害する事故や災害などが発生した際の緊急事態の対策を定
め、遅滞なく事業継続の処置を講ずる。
7.情報セキュリティ基本方針、関連する規定及び法規制に反する行為があった場合は、
あらかじめ定められた処罰や契約内容に応じて対処する。また、再発防止の為の
処置を取る。
経営者を含む全従業員及び協力会社は、当施設のセキュリティマネジメントを遵
守しなければならない。
8.情報セキュリティ目的を設定し、その達成のために必要な管理策を講じつつ、達
成度の評価を行います。
平成 26年 8月 1日
株式会社大寛組
代表取締役 大 濱 均
是正・予防処置の手順(付表2)
内容確認
修正処置
【是正】
・自分たちのルール(規定・法規制等・慣例等)⇒客観的証拠(記録・現場等)
⇒出来ていない状況で記入すると理解しやすい。
例:当社では、~しなければならないが、平成○年○月○日の~を確認すると、
~が実施できていなかった。
【予防】
・今後起こりえる不適合の内容を記入する。
例:当社では、現在~しているが、今後~が発生する恐れがあるため予防処置
を実施する。
【是正】
・応急処置は、上記の「内容」に記載のある「出来ていない状況」に対して、速
やかに「不適合の状態そのものを除去」する事であるが、過去にさかのぼって対
応できない状況(または過去にさかのぼって対応する事にあまり意味がない状況
も含む)が発生した場合には、その影響度合いを考慮して対応する。
【予防】
・予防処置では「~が発生する恐れがある」に注目し、それを除去する対応を記
入する。
原因の特定 【是正・予防】
・原因を特定する際には、以下の項目の整合性・有効性等について、再確認する
事が重要である。
原因特定を行う際、「なぜだろう」「何が原因だろう」「他に何か原因がないだろ
うか」を頭の中で繰り返し考える事が重要である。
また、箇条書きで整理する事を薦める。
(1)手順等または法規制等をしっかり理解していたか。
(2)役割分担を含めたチェック体制に問題はなかったか。(←特に重要)
(3)教育訓練の実施方法に問題はなかったか。(実施方法・時間・教材・講師等)
(4)設備等のインフラ面で問題はなかったか。
(5)委託業者等の管理方法について問題はなかったか。
(6)コミュニケーション不足はなかったか。
・上記のような切り口で原因特定をする事で、「理解不足」「認識不足」等しか原
因に掲げない風潮を作らない事が重要である。
【是正・予防】
・しっかりとした原因特定が出来れば、その内容に対処するための内容を記載す
れば問題ない。(箇条書きで原因の特定と対比すると良い)
処 置 案
【是正・予防】
・再発防止または未然防止を行う対応計画に問題がないか評価する。
・是正予防処置をいつまでに完結させるか目途を立てる。
・類似の不適合の有無、又はそれが発生する可能性を評価する。
評 価
【是正・予防】
・処置案に記載された事項を実施した結果を記載する。
・実施した事が判定できる「記録」等の名称を記載する。
実施結果
【是正・予防】
・効果の確認をいつ・誰が・どうやって行うのか明確にする事が重要である。
・原因の特定及び処置案が機能しているか確認する。
効 果
【是正・予防】
・内容確認、応急処置、原因特定、処置案、実施結果、効果が適切に実施されて、
再発防止または未然防止となっているか全体的な有効性のレビューを実施する。
レビュー
【是正・予防】
・是正予防処置書を発行した場合、確実に完結しているか確認する上でも、内部
監査でフォローアップを行う。
フォローアップ
内部監査の手順(付表 3)
・ 監査の目的、基準及び範囲を確認する。 ・ 監査の実施方法について協議する。 ・ 監査の時間割について再確認する。
・内部監査チェックリストに基づき監査を行う。 ・客観的証拠に基づき不適合及び改善事項を確認し、チェックリストに記録する。 (不適合・改善事項は監査の中で了解してもらうこと)
・監査を通じて良かった点もチェックリストにメモする。 ・客観的証拠は特定できるように、タイトル・日付・番号・現物等を具体的に記入する。
・監査結果の判定を行います。
不 適 合:要求事項を満たしていないこと
改善事項:現在は不適合とならないが、潜在的な問題として判断されたもの
または、「こうすればもっと良くなる」と判定した事項
・ 不適合に対して是正処置要求書の「内容確認」欄を記入する。(1件1葉)
・改善事項に対しては、「改善事項報告書」にまとめて記入する。
・ 以下の監査結果を報告し、被監査側の了解を求める。
① 監査を通じて感じた良かった点を述べる。
② 不適合に対して是正処置要求書を提示し、内容を説明する。
③ 改善事項を説明する。(改善事項の取り扱いは、後日、被監査側で記載する)
・ 是正処置要求書について、「計画」欄の実施期限を決める。(双方確認)
・是正処置要求書/改善事項報告書の写しを取る。(原紙は被監査側)
・監査後の手続きについて説明する。
監査チーム会議
初 回 会 議
最 終 会 議
内部監査の実施
実施時期の決定
内部監査員の選出
・ 内部監査の実施時期は、ISMS年間計画書に明示する。
・ 内部監査は年 1回を原則とする。
・ 顧客からの重大なクレーム等が発生した場合、社長の判断で臨時開催できる。
・ 自分の部門を監査できない。
・ 監査チームはリーダー 1名を原則とし、必要に応じて監査員を選定できる。
・ ※勉強のためのオブザーバー参加も認める。
内部監査の計画 ・ 監査リーダーが「内部監査計画・実績書」の「計画書」欄を記入する。
・ 監査対象プロセス、部門の状態・重要性、これまでの監査結果を考慮する。
・ 次に記載する内部監査チェックリストとともに、管理責任者の承認をもらう。
・ 監査の前に、内部監査計画・実績書の原紙を被監査責任者に渡す。
チェックリストの作成 ・ 監査リーダーが作成する。(監査員がいる場合は相談して作成する)
・ 監査員がいる場合、事前打合せを行い、「聞く人」「記録を取る人」の分担を決
める。
・被監査側は是正処置を行なう。(様式「是正処置要求書」の「効果」まで記入)
・改善事項については、その対応を「改善事項報告書」に記入する。
・是正が完了した場合、監査リーダーは「レビュー」を実施する。
(様式「是正処置要求書」の「レビュー」を記入)
・被監査部門の責任者は、完了した「是正処置要求書」の原紙及び内部監査に関
する全ての原紙を保管する。
フォローアップ
・監査リーダーは、内部監査計画・実績書の「実績書」欄を記載し、是正処置要求書
と改善事項報告書の写しを添付して総務課に出す。
・資産管理者は、全社分を整理し、管理責任者及び社長へ回覧する。
・資産管理者は、内部監査計画・実績書の原紙を被監査側に配付する。
報 告
