|
|
|
 |
| |
|
|
事業の代表者はマネジメントシステム構築に向け、個人情報保護責任者を指名し、推進事務局を立ち上げる。個人情報保護責任者は、個人情報保護方針の策定とキックオフ大会の企画と運営を行う。
|
|
|
|
個人情報の洗い出しを行います。どのように収集、利用、保管、廃棄しているか。また、預託、委託しているかを個人情報業務フローおよび個人情報管理台帳にて明確にする。 |
|
|
適正管理(正確性、安全性、預託管理)の観点から現状調査(要求事項とのギャップ分析、ビジネスリスク分析)を行います。実施した分析結果を、リスク分析表にまとめます。 |
|
|
Step3「ギャップ分析・リスク評価」におけるリスクアセスメントの結果をもとに、関連文書として、規程、手順書等を作成します。 |
|
|
教育計画を策定し、全社員に対し実施し、実施の記録をとります。この記録は、プライバシーマーク申請の際に、必ず必要となる資料です。
|
|
|
構築されたコンプライアンス・プログラムに沿って実運用を行います。実施にあたりその実施記録を残していくことになります。
|
|
|
マネジメントシステムとして確実に構築され、機能しているかを内部監査によって確認し、不適合等があれば、是正を実施します。 |
|
|
第三者機関へ審査の申請を行います。記載内容及び申請資格の確認及び受理されると、審査が実施されることになります。 |
|
|
文書審査とともに、運用状況や現場での実施状況の確認といった現地調査が実施されます。これらの審査および調査をもとにプライバシーマークの使用許可の可否が決定されます。 |
|
|
プライバシーマーク使用許諾契約書と使用許諾証が交付されます。マークの使用契約期間は2年間となっており、継続してマークを使用する際は、契約が切れる2年毎に再度審査を受けることになります。 |
|
| |
|
|
|
|
|
|
|
重要な情報資産の取扱いが適正に保たれるように、必要な範囲を1つの組織体(適用範囲)として決定します。これは、企業全体や1 事業部門、顧客に提供する「サービス」の様に複数の部門にまたがった横断的な組織体として適用することが可能です。適用範囲の決定で重要なことは、1つのマネジメントとして網羅的であり、境界線が明確で、合理的に説明可能であることです。適用範囲は、ISMS の構築作業のみならず、運用管理など適用対象の情報セキュリティ水準を維持する活動全般に影響するため、決定には十分な検討が必要です。
|
|
|
|
基本方針は、組織のISMSに対する基本的な考え方を示すと同時に、組織として情報セキュリティに関する要求事項に対して責任を負うという意思表示として重要な文書です。その内容は、企業としての使命、目的を表明した経営方針(ビジョン)や行動規範(価値観)と整合性がとられ、要員の行動を規範するための、情報セキュリティに関する全般的な方向性及び行動指針に関する内容が明記される必要があります。基本方針を策定するためには、適用範囲に含まれる組織の人員構成、規定類の整備状況、情報資産の保有状況、情報システムの利用状況等の広範囲における情報資産とそれを取り巻く環境を考慮する必要があります。 |
|
Step3
リスクアセスメントについての体系的な取組み方法の策定 |
|
|
リスクアセスメントとは、「識別された情報資産に対するリスクを識別し、それらの大きさを手順に従い決定すること」です。リスクアセスメントでは、組織が保有する情報資産を対象に、「どのような脅威が存在するのか?」、「その脅威は、どの程度発生する可能性があると考えられるか?」、「脅威が顕在化した場合、どの程度の影響を受けるのか?」を把握することになります。リスクアセスメントの手順としては、まず「リスク因子(脅威と脆弱性を組み合わせたもの。例えば、暗号化されていない通信(脆弱性)により、引き起こされる情報漏えい(脅威)など)」を特定し、「リスクの算出(特定されたリスク因子の発生可能性と、それにより引き起こされる事象の結果を検討すること。例えば、暗号化されていない通信にて引き起こされる情報漏えいにより被る損害などを計算すること)」を行います(リスク分析)。その後、算定されたリスクについて「リスク評価」を行うことになります。 |
|
|
単にリスクを識別するといっても、リスクそのものは手にとって認識することができるものではありません。リスクは、様々なリスク因子の因果関係により成り立っており、リスク値はそれを取り巻く「資産価値」、「脅威」、「脆弱性」により決定されることになります。リスクの識別では、具体的に「情報資産の洗い出し(特定)」と「脅威、脆弱性の明確化」の2つの作業が実施されることになります。 |
|
|
まず、組織は、事業上の損害を判定するために、組織独自の判断基準を開発し、情報資産の機密性(C)、完全性(I)、可用性(A)が損なわれたときの事業上の影響(損害)を評価します。次に、起こり得るセキュリティ障害などの現実的な発生可能性を評価するために、一般に認識されている脅威および脆弱性を評価します。リスク値は、明確になった「情報資産の価値」、「脅威の大きさ」、「脆弱性の度合い」を用いて、3つ値の足し算や掛け算といった方法で算出します。リスクが算出されたら、経営陣が受容可能と決定(承認)した「リスク評価基準」と比較します(リスク評価)。リスク値は、情報資産の価値や脅威、脆弱性等の環境に変化により変わるため、適宜見直します。結果、受容可能なリスクと判断されていたものでも追加的なリスク対応が必要になる場合があります。
|
|
|
リスク対応とは、リスク評価の作業で明確になったリスクを正確に把握し、そのリスクに対する適切な対処方法を決定することです。対処方法は、存在するリスクを、そのリスクが持つ大きさや特徴により判断することになり、「適切な管理策の採用」、「リスクを保有する」、「リスクを回避する」、「リスクを移転する」の4つの選択肢に対していずれかを実施することになります。
|
|
|
ISO 27001の附属書A「管理目的及び管理策」より、リスク対応に関する管理目的および管理策を選択します。適切な管理目的または管理策がない場合は、独自に追加の管理策を採用します。 |
|
Step8
残留リスクを承認し
ISMSの実施を許可する |
|
|
選択された管理目的および管理策の有効性、妥当性を示すと同時に、算出された残留リスク(対策の実施後も軽減されずに残るリスク)にてついて、受容リスク水準以下であるか、または受容リスク水準以下になる計画であること、或いはリスクの保有(受容リスク水準を超える場合を含む)を経営陣が確認し、適切と判断し承認し、運用する許可を与えることになります。 |
|
|
ISO 27001にて要求される、以下の事項を含んだ「適用宣言書」を作成します。
・ 附属書A より選択した管理目的および管理策、並びにこれらを選択した理由
・ 現在実施されている管理目的及び管理策
・ 附属書A より適用除外とした管理策およびその理由 |
|
|
|
