Copyright©2007-2014 NPO東京ITC 1

ISO/IEC 27001(ISMS)構築支援

20XX年Ｘ月NPO東京ITC

ヒアリング診断用

Copyright©2007-2014 NPO東京ITC 2

ＩＳＭＳの構築についてのヒアリング

■ ISMS構築の準備(現状確認)

■ ISMS構築の準備(社内業務の仕組み調査)

■ ISMS構築の基本的な考え方

■ ISMS構築のための組織と役割

■ ISMS構築のスケジュール

■ ISMS構築の手順

Copyright©2007-2014 NPO東京ITC 3

1.経営トップによるISMS構築の宣言

2.構築プロジェクトの目標設定

適用範囲概略、期間、運営方針、責任と権限、成果物

3.構築プロジェクトの編成

4.業種、企業規模、拠点配置の現状把握とセキュリティニーズ

業界ガイドライン調査

5.ＩＴの活用状況、情報システム・インフラの運用状況の現状把握

6.情報セキュリティ対策の現状把握

7.予算措置の検討、審査機関の検討

ＩＳＭＳ構築の準備（現状確認）

Copyright©2007-2014 NPO東京ITC 4

1. □社内組織図と社内委員会制度の概要2. □業務分掌、職務規定、権限規定、稟議規定、意思決定プロセス

3. □業務記述書、業務マニュアル、業務フロー図4. □就業規則、誓約書、入退出管理規則

5. □委託先契約書、守秘契約書、覚書、委託先選定基準6. □委託元との契約書、守秘契約書、覚書

7. □ＩＴ戦略・ＩＴ方針・ＩＴ計画、情報セキュリティポリシー（別途）8. □ＩＴ部門規定、ＩＴ開発規定・ＩＴ利用規定・ＩＴ運用規定9. □全社システム体系図、ネットワーク図、導入システム・機器・ソフト台帳

10. □ユーザマニュアル、操作マニュアル11. □システム概要説明書、システム仕様書、プログラム仕様書、運用マニュアル12. □システム運用記録、各種申請書、伺い承認記録帳票13. □システム各種変更記録（申請、承認）14. □その他システム関係書類(業務委託契約書、ＳＬＡ、仕様書等)

ＩＳＭＳ構築の準備（社内業務の仕組み調査）

Copyright©2007-2014 NPO東京ITC 5

ＩＳＭＳが求めていること

Ｄｏ

Ｃｈｅｃｋ

Ａｃｔ

情報セキュリティ方針の作成

文書・記録管理ルール

管理策の有効性測定

経営資源投入・配分

見直し実施改善指示

体制整備責任者選任

受容可能なリスク水準設定

経営者の役割

リスク分析・評価（リスクアセスメント）

情報資産の価値評価

情報資産のリスク分析・評価

リスク対応管理策などの選定

適用宣言書の作成

リスク対応計画作成

ISMSの運用状況の記録と管理

教育計画・要員の確保

違反・事件・事故の監視

内部監査実施

違反・事件・事故の予防

違反・事件・事故の再発防止

内部監査、レビュー、改善

ＰＬＡＮ

ＤＯ

ＣＨＥＣＫ

ＡＣＴ

Policy

Ｐｌａｎ

リスク対応計画・管理策の実施

ISMS運用マニュアル作成マネジメントレビュー

セキュリティ計画更新

改善意図説明と目標達成

情報セキュリティ統括管理者

ＣＩＳＯ

Copyright©2007-2014 NPO東京ITC 6

①故意による人為的脅威不正アクセス紛失、破壊改竄、漏洩悪用著作権侵害、プライバシー侵害コンピュータウィルス中傷・スパムメール

②事故・過失による偶発的脅威ハード障害ネットワーク障害ソフトバグ運用に関わる問題

③災害等による環境的脅威地震・雷・火事・水害・停電等によるシステム停止

情報セキュリティ・リスクへの体系的対応

情報資産の運用と管理

企業情報営業・技術個人情報顧客・従事者

脆弱性

ビジネスプロセス人組織アプリケーション建物・設備ネットワークＩＴ機器

リスク発生

（損失発生）

情報資産漏洩・破壊

信用崩壊

人材流出

経営体制弱体化

技術資産流出

設備資産破壊

経営者関与

組織的対応人的対応物理的対応

ＳＳＬＦｉｒｅＷａｌｌウィルスソフトＶＰＮ‥

マネジメント対策 技術対策

総合的なセキュリティ対策安全管理措置

脅威情報資産

何を、何から、どう守るか?

●情報セキュリティ管理システムの確立・方針、責任権限の明確化・経営全般のリスクマネジメントの確立・文書管理／記録管理の徹底等

Copyright©2007-2014 NPO東京ITC 7

ＩＳＭＳの標準構築プロセス

トップの関与

ISMS確立フェーズ2～3ヶ月

スタート

適用範囲境界定義

ISMS導入・運用フェーズ1～2ヶ月

認証取得

予備審査

登録審査

ISMS監視・見直しフェーズ 1～2ヶ月

現状の情報資産・ＨＷ/ＳＷなど

①適用範囲定義書②情報セキュリティ基本方針・情報セキュリティ基本規定④情報資産目録(台帳)⑤リスク評価シート⑥ リスクアセスメント報告書⑦リスク対応シート・情報セキュリティ対策規程⑧残留リスク一覧⑩適用宣言書

成果物例

審査登録機関決定

① ② ③ ④⑤ ⑥ ⑦ ⑧ ①

ＩＳＭＳ基本方針策定

リスクアセスメント方針策定

リスクの識別

リスクの分析評価

リスク対応選択肢評価

リスク対応管理策選択

導入運用の経営陣の許可

残留リスク等の承認

⑨

リスク対応計画策定

② ③ ④ ⑤ ⑥ ⑦

リスク対応計画の実施

運用状況の管理

経営資源の管理

セキュリティ事件事故対応

管理目的・管理策の実施

教育訓練の実施

①

監視手順確立と実施

② ⑦④ ⑤ ⑥

ＩＳＭＳの有効性見直し

マネジメントレビュー実施

セキュリティ計画更新

残留リスク等の見直し

ＩＳＭＳ内部監査の実施

①

ＩＳＭＳ改善策実施

② ③ ④

是正・予防処置の実施

実施処置の伝達・合意

改善目標の達成

ISMS維持・改善フェーズ2～3ヶ月

・情報資産管理手順書・リスクマネジメント手順書・情報ｾｷｭﾘﾃｨ対策基準

①リスク対応計画書・情報セキュリティ運営体制案・事業継続計画書⑤情報ｾｷｭﾘﾃｨ教育･訓練計画書・情報ｾｷｭﾘﾃｨ教育･訓練報告書⑥情報ｾｷｭﾘﾃｨ運用状況報告書⑧情報ｾｷｭﾘﾃｨ事件･事故報告書

・情報ｾｷｭﾘﾃｨ教育･訓練手順書・ISMS文書管理手順書・その他手順書

手順書例

⑤内部監査計画書・内部監査実施報告書⑥マネジメントレビュー議事録⑦セキュリティ計画改訂版⑧ISMS実施報告書

・内部監査手順書・内部監査チェックリスト・運営委員会実施手順

①改善計画/実施報告書

②是正･予防処置報告書

ＰＪ準備

ISO27001ベース(改1)

〔Ａ〕〔Ｐ〕 〔Ｄ〕 〔Ｃ〕維持審査更新審査

適用宣言書の作成

⑩

有効性測定方法規定

⑧ ③

管理策の有効性測定

⑧ＩＳＭＳ実施状況の記録

〔Ｐ〕ＩＳＭＳ確立フェーズ 11①適用範囲定義 　○②ISMS基本方針策定 　○③リスクアセスメント方針策定 　○④リスクの識別⑤リスクの分析評価⑥リスク対策選択肢評価

　　　　⑦リスク対応管理策選択・手順書作成⑧残留リスク等の承認 ○⑨ISMS導入運用の経営陣の許可 ○⑩適用宣言書の作成 ○

〔Ｄ〕ＩＳＭＳ導入・運用フェーズ 3①リスク対応計画策定 ○

　　　　②リスク対応計画の実施③管理目的・管理策の実施④有効性測定方法の規定 ○⑤教育訓練の実施⑥運用状況の管理⑦経営資源の管理⑧セキュリティ事件･事故対応

〔Ｃ〕ＩＳＭＳ監視・見直しフェーズ 3①監視手順確立と実施 ○②ISMSの有効性見直し③管理策の有効性測定④残留リスク等の見直し ○⑤ISMS内部監査の実施 ○⑥マネジメントレビューの実施 ○⑦セキュリティ計画更新 ○⑧ＩＳＭＳ実施状況の記録 ○

〔Ａ〕ＩＳＭＳ維持･改善フェーズ 2①ＩＳＭＳ改善策実施②是正予防措置の実施③実施処置の伝達 ○④改善目標の達成 ○

申請 ★予備審査 ★本審査 ★ ★ISMS認証取得 ★

20

ＩＳＭＳ導入作業スケジュール例

Copyright©2007-2014 NPO東京ITC 8

Copyright©2007-2014 NPO東京ITC 9

ＩＳＭＳ文書体系ISMS文書 実施記録等 関連規程・マニュアルにおけるセキュリティ関連事項 実施記録

ポリシーISMS構築稟議書ISMS構築社内通達

情報ｾｷｭﾘﾃｨ基本方針 情報ｾｷｭﾘﾃｨ方針書

情報ｾｷｭﾘﾃｨ基本規程 ISMS適用範囲規程書 情報システム構築規程 情報システム取得・開発規程 各種申請書

基本方針文書規程 ISMS適用宣言書 物理・環境的セキュリティ管理規程 入退出管理記録

外部サービス規程 契約書・ＳＬＡ

スタンダード 情報システム運用規程 基幹システム運用規程 情報システム運用記録

リスク対応計画書 アクセスログ

管理策別目標・有効性評価表 利用者ID管理基準 利用者ID申請書

ユーザ認証基準 特権パスワード管理台帳

情報ｾｷｭﾘﾃｨ委員会規程 委員辞令 ウィルス対策基準

委員会議事録 バックアップ基準 バックアップ記録

マネジメントレビュー規程 レビュー議事録 暗号化管理規程

セキュリティ事象対応規程 セキュリティ事象事故報告書 情報システム利用規程 情報資産調達規程 情報資産購入申請書

緊急時・異常時対応規程 基幹システム利用規程 基幹システム利用申請書OAシステム利用規程

事業継続計画規程 グループウェア等利用規程 グループウェア等利用申請書

安全管理規程

適用法令規程

情報システム維持規程 変更管理規程

ISMS教育規程 教育計画書 情報システム保守規程 保守報告書教育実施報告書

ネットワーク管理規程 社内ネットワーク管理規程 ネットワーク監視報告書

ISMS内部監査規程 監査計画書 外部ネットワーク利用規程

監査実施報告書

是正処置報告書 業務関連規程

ISMS文書・記録管理規程 規程文書一覧 就業規則 罰則規程 誓約書（社員）

記録帳票一覧 人的セキュリティ対策規程 誓約書（外部）

職務規程 職務定義書

プロシジャー 各種業務マニュアル 個別業務別マニュアル 各種手順書

情報資産管理手順書 情報資産調査票／台帳 外注・購買管理規程 外部委託規程 外部委託契約書

情報資産目録 外部委託先選定基準 秘密保持契約書

リスクマネジメント手順書 リスク管理票

残留リスク一覧 個人情報保護関連規程 各種規程･細則

その他社内規定 社内稟議規程 稟議書

情報ｾｷｭﾘﾃｨ方針

情報ｾｷｭﾘﾃｨ対策規程

情報ｾｷｭﾘﾃｨ対策実施手順

情報システム関連規程

Copyright©2007-2014 NPO東京ITC 10

ＩＳＭＳ構築の推進体制（例）

代表者

情報セキュリテイ統括管理者 東京ＩＴＣ

総務部総務部営業部門営業部門情報システム部情報システム部 生産部門生産部門

情報セキュリティ委員会事務局(情報セキュリティ推進Ｇ)

経理部経理部

情報セキュリティ委員会

①代表者による役員クラスの任命

②情報セキュリティ統括管理者が委員会を立上げ

③各部門の代表者をセキュリティ管理者として委員に任命

④セキュリティ実務を担当するメンバーを任命。構築と運用を担当。

統括管理者、事務局を支援する

Copyright©2007-2014 NPO東京ITC 11

項目 ISO27001における要求事項 影響

適用宣言書の見直し

4.2.1.j)2)

「現在実施されている管理目的と管理策」を明らかにすること

・適用宣言書の選択管理策に実施状況を追記

・未実施の理由と予定の追記

リスクマネジメントの見直し

4.2.1.c)2)

「リスクアセスメント」の方法は

比較可能で再現可能であること

・リスクマネジメント手順の明文化

・手順書の版管理

・作業結果との紐付け

管理策の有効性評価4.2.2.d4.2.3.c4.2.3.d)5)4.3.1.g)7.2.f)7.3.e)

管理策を実施するだけでなく、「管理策の有効性の評価とその監視・測定」が加わった

・管理策の有効性についての評価基準評価方法管理目標監視・測定方法の設定運用

・有効性評価を容易にする管理策のグルーピング

付 ISMS認証基準ver.2からISO27001への変更ポイント

Copyright©2007-2014 NPO東京ITC 12

項目 ISO27001における要求事項 影響

セキュリティ事象の監視

4.2.3.a)4)

A14.1.2

セキュリティ事故・事件の「予兆としてのセキュリティ事象」を検出し、予防すること

・予防措置体制の確立

セキュリティ事象の定義

当該事象の監視方法明確化

当該事象の判定基準値設定

当該事象の監視、記録

第三者が提供するサービスの管理手順見直し

A10.2

外注委託先の管理の強化要請により、「アウトソーシング等のサービスレベル、監視、レビュー、変更管理の手順を明確化」すること

・提供サービスについて

サービスのセキュリティ管理策

サービスの定義、SLA明確化

監視・監査

変更管理

全般 上記の変更に伴う整合性

追加記録体制の確立

・規定の見直し

・追加記録帳票の準備