ISMSマスター

認証規格がBS7799-2(ISMS認証基準Ver.1.0)の頃から20年以上にわたって ISMSの構築・運用実務のほか,コンサルティング業務にも携わっている ISMSマスター


ISMS審査員補/Cloud Security審査員

2024/7/7

当サイトの新規格対応について(コンテンツを順次更新)

2022年10月25日に,ISO/IEC 27001:2022 が発行されました。 また,2023年9月20日には,JIS Q 27001:2023 も発行されました。 新規格の発行に伴い,当サイトも順次コンテンツの更新と新規格に対応した解説を掲載していきます。

2023/5/16

【10.2 継続的改善】ISMSの有効性を維持するためにISMSを継続的に改善しよう!

箇条10では,不適合が発生した場合の処置と,ISMSの適切性,妥当性および有効性を継続的に改善することを要求しています。 この記事では,「10.2 継続的改善」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。 規格要求事項の解説 「10.2 継続的改善」では,箇条4から箇条10までのISMSのPDCAサイクルを継続し,組織がISMSを継続的に改善していくことを要求しています。 10.2 継続的改善 組織は,ISMSの適切性,妥当性及び ...

2023/4/26

【10.1 不適合及び是正処置】不適合の原因を除去して再発を防止するための処置をしよう!

箇条10では,不適合が発生した場合の処置と,ISMSの適切性,妥当性および有効性を継続的に改善することを要求しています。 この記事では,「10.1 不適合及び是正処置」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。 規格要求事項の解説 「10.1 不適合及び是正処置」では,不適合が発生した場合に,是正処置を実施することを要求しています。 10.1 不適合及び是正処置 不適合が発生した場合,組織は,次の事項を行わなければならない。a) ...

2023/4/22

【9.3 マネジメントレビュー】ISMSが意図した成果を達成できることを確実にするためにISMSをレビューしよう!

箇条9では,情報セキュリティパフォーマンスとISMSの有効性を評価することを要求しています。 この記事では,「9.3 マネジメントレビュー」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。 規格要求事項の解説 「9.3 マネジメントレビュー」では,適切,妥当かつ有効であることを確実にするために,ISMSをレビューすることを要求しています。 規格要求事項 9.3 マネジメントレビュー トップマネジメントは,組織のISMSが,引き続き,適 ...

2023/4/15

【9.2 内部監査】ISMSの適合性と有効性を確認するために内部監査を実施しよう!

箇条9では,情報セキュリティパフォーマンスとISMSの有効性を評価することを要求しています。 この記事では,「9.2 内部監査」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。 規格要求事項の解説 「9.2 内部監査」では,ISMSの適合性および有効性を評価するために,あらかじめ定められた間隔で内部監査を実施することを要求しています。 規格要求事項 9.2 内部監査 組織は,ISMSが次の状況にあるか否かに関する情報を提供するために, ...

2023/2/26

【9.1 監視,測定,分析及び評価】情報セキュリティパフォーマンスとISMSの有効性を評価しよう!

箇条9では,情報セキュリティパフォーマンスとISMSの有効性を評価することを要求しています。 この記事では,「9.1 監視,測定,分析及び評価」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。 規格要求事項の解説 「9.1 監視,測定,分析及び評価」では,「8 運用」による構築・運用について,情報セキュリティパフォーマンスとISMSの有効性を評価することと,監視・測定の結果の証拠として,文書化した情報の保持が要求されています。 規格要 ...

2023/2/19

【8.3 情報セキュリティリスク対応】「6.1.3 情報セキュリティリスク対応」で定めたリスク対応計画を実施しよう!

箇条8では,箇条6で計画したリスクアセスメントの実施と決定した管理策およびリスク対応計画の実施のほか,情報セキュリティ目的を達成するための計画の実施とそれらのプロセスを実施した記録を文書化し,保持すること,計画やプロセスの変更管理および外部委託したプロセスの管理を要求しています。 この記事では,「8.3 情報セキュリティリスク対応」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。 規格要求事項の解説 「8.3 情報セキュリティリスク対 ...

2023/2/18

【8.2 情報セキュリティリスクアセスメント】「6.1.2 情報セキュリティリスクアセスメント」で定めたプロセスを実施しよう!

箇条8では,箇条6で計画したリスクアセスメントの実施と決定した管理策およびリスク対応計画の実施のほか,情報セキュリティ目的を達成するための計画の実施とそれらのプロセスを実施した記録を文書化し,保持すること,計画やプロセスの変更管理および外部委託したプロセスの管理を要求しています。 この記事では,「8.2 情報セキュリティリスクアセスメント」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。 規格要求事項の解説 「8.2 情報セキュリティ ...

2023/2/8

【8.1 運用の計画及び管理】「6 計画」で決定した計画やプロセスを実施して管理しよう!

箇条8では,箇条6で計画したリスクアセスメントの実施と決定した管理策およびリスク対応計画の実施のほか,情報セキュリティ目的を達成するための計画の実施とそれらのプロセスを実施した記録を文書化し,保持すること,計画やプロセスの変更管理および外部委託したプロセスの管理を要求しています。 この記事では,「8.1 運用の計画及び管理」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。 規格要求事項の解説 「8.1 運用の計画及び管理」では,「6. ...

2023/1/15

【7.5 文書化した情報】ISMSを構築・運用するために必要な文書を作成・更新・管理しよう!

箇条7では,ISMSの活動におけるPDCAサイクルのすべての局面に関する要求事項が定められており,「7.1 資源」,「7.2 力量」,「7.3 認識」,「7.4 コミュニケーション」,「7.5 文書化した情報」の5項目で構成されています。 この記事では,「7.5 文書化した情報」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。 規格要求事項の解説 「7.5 文書化した情報」では,ISMSを構築・運用するための文書化した情報の作成や更新 ...