「ISMS規格をわかりやすく解読する」シリーズの2回目は、「4.組織の状況」の後半部分、4.3及び4.4について見て行きたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

4.3情報セキュリティマネジメントシステムの適用範囲の決定

ISMSの一つの特徴は、適用範囲を自由に決定できるということです。

必ず会社単位で取らなければならない、とか、部署単位で取らなければならない、というような制限は一切ありません。この節では、その「適用範囲」を決定しましょう、ということを述べています。適用範囲の決定の方法としては、「事業」単位や、建物や棟などの「物理」単位、「組織」単位などが考えられます。

しかし、これらの適用範囲は自由に決めていいわけではなく、以下の3つの内容を考慮しなければなりません。

  • 4.1節で決めた「外部及び内部の課題」
  • 4.2節で決めた「要求事項」
  • 「インターフェース及び依存関係」

そして、ここで定めた適用範囲は、「適用範囲定義書」などの形として文章化して、利用可能な状態にしておく必要があります。

4.4情報セキュリティマネジメントシステム

4.4節では、この企画に書かれている要求事項に基づいて、ISMSを確立し、実施し、維持し、改善する必要があると述べてあります。これは、ISMSを運営していくためには、いわゆるPDCAサイクルを回していく必要があるということを要求しています。

ISMS規格をわかりやすく解読する【4.組織の状況(後編)】

Posted in 規格解説

「ISMS規格をわかりやすく解読する」シリーズの2回目は、「4.組織の状況」の後半部分、4.3及び4.4について見て行きたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

4.3情報セキュリティマネジメントシステムの適用範囲の決定

ISMSの一つの特徴は、適用範囲を自由に決定できるということです。

必ず会社単位で取らなければならない、とか、部署単位で取らなければならない、というような制限は一切ありません。この節では、その「適用範囲」を決定しましょう、ということを述べています。適用範囲の決定の方法としては、「事業」単位や、建物や棟などの「物理」単位、「組織」単位などが考えられます。

しかし、これらの適用範囲は自由に決めていいわけではなく、以下の3つの内容を考慮しなければなりません。

  • 4.1節で決めた「外部及び内部の課題」
  • 4.2節で決めた「要求事項」
  • 「インターフェース及び依存関係」

そして、ここで定めた適用範囲は、「適用範囲定義書」などの形として文章化して、利用可能な状態にしておく必要があります。

4.4情報セキュリティマネジメントシステム

4.4節では、この企画に書かれている要求事項に基づいて、ISMSを確立し、実施し、維持し、改善する必要があると述べてあります。これは、ISMSを運営していくためには、いわゆるPDCAサイクルを回していく必要があるということを要求しています。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする