ISMS規格をわかりやすく解読する【8.運用】

lrmcorp
LRM株式会社 記事一覧
カテゴリー: 規格解説,   タグ:

「ISMS規格をわかりやすく解読する」シリーズの7回目は、「8.運用」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

8.1運用の計画及び管理

今までは、ISMSのPDCAサイクルでいうPの部分、すなわちISMSを実行するための計画(Plan)を考えてきましたが、この章では実行(Do)の部分を考えていきます。組織は、要求事項を満たすため、そして、6.1で定めたリスクアセスメントやリスク対応を実施するために、ISMSの活動を計画し、実施し、管理していく必要があります。しかし、ただ計画して実行するだけではダメで、本当に計画通り実施できているのかが、しっかりと確認できるような文章を作る必要があります。

8.2情報セキュリティリスクアセスメント

ここでは、8.1で述べたリスクアセスメントについて、より具体的に述べています。つまり、あらかじめ定めた間隔で、定期的にリスクアセスメントを行う必要がありますよといっています。定期的なアセスメント以外にも、大きな変更が提案された時や、何らかの重大な変化が発生した場合にも、リスクアセスメントを行う必要があります。アセスメントの結果は、文章化しておく必要があります。

8.3情報セキュリティリスク対応

この節も同様で、8.1で述べたリスク対応について具体的に述べています。リスク対応をする必要が有ること、その結果は文章化されておく必要が有ることを述べています。

ISMS規格をわかりやすく解読する【8.運用】

カテゴリー: 規格解説

「ISMS規格をわかりやすく解読する」シリーズの7回目は、「8.運用」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

8.1運用の計画及び管理

今までは、ISMSのPDCAサイクルでいうPの部分、すなわちISMSを実行するための計画(Plan)を考えてきましたが、この章では実行(Do)の部分を考えていきます。組織は、要求事項を満たすため、そして、6.1で定めたリスクアセスメントやリスク対応を実施するために、ISMSの活動を計画し、実施し、管理していく必要があります。しかし、ただ計画して実行するだけではダメで、本当に計画通り実施できているのかが、しっかりと確認できるような文章を作る必要があります。

8.2情報セキュリティリスクアセスメント

ここでは、8.1で述べたリスクアセスメントについて、より具体的に述べています。つまり、あらかじめ定めた間隔で、定期的にリスクアセスメントを行う必要がありますよといっています。定期的なアセスメント以外にも、大きな変更が提案された時や、何らかの重大な変化が発生した場合にも、リスクアセスメントを行う必要があります。アセスメントの結果は、文章化しておく必要があります。

8.3情報セキュリティリスク対応

この節も同様で、8.1で述べたリスク対応について具体的に述べています。リスク対応をする必要が有ること、その結果は文章化されておく必要が有ることを述べています。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする