ISMSをスリム化
ISMS運用における課題を解決します
マネジメントシステムの意図した成果(目的)達成のためには、運用における無理・無駄な作業を排除し、その目的と意図を正しく認識した上で運用管理を業務と整合させることが大切です。
スリム化(改善)3つのポイント
1.文書記録のスリム化(業務との整合)
2.リスクマネジメントプロセス改善
3.効率的で効果的な内部監査の実施
無料相談会
ISMSの運用管理についての疑問に答えます
直面している課題について、解決のための事例や改善策について最適なプランを提案します。無料相談会は、全国対応1時間以内リモートでご希望の日時で実施します。
SOLUTION
対応事例
1.文書記録のスリム化(業務との整合)
規定などの文書は、ISMS運用やセキュリティレベルを維持することが目的で、適切に運用され有効に機能してこそ価値があります。記録は、有効に機能していることを評価・分析するために作成されます。文書化した情報は、完全な状態(最新で一貫性があり適切な版管理が実施されていること)で必要な時に速やかに利用可能な状態(可用性)であることが必要です。
私たちの推奨するアプローチ方法
1.現状調査(臨時監査)により現状を調査分析実施
2.文書記録類のパフォーマンス(有効性)評価実施
3.文書の統廃合など是正改善を目的とした計画立案
4.優先順位に従ったスリム化計画の実行をお手伝い
5.文書記録の電子化で完全性と可用性向上をご支援
6.従業員研修でその目的と認識を共有し実行を支援
2.リスクマネジメントプロセス改善
事象ベースのリスク特定で実践(ワークショップ)的にプロセスを改善します
リスクベースでセキュリティ対策を考えることが重要です。「ISMS は,リスクマネジメントプロセスを適用することによって,情報の機密性,完全性及び可用性を維 持し,かつ,リスクを適切に管理しているという信頼を利害関係者に与える。(ISO/IEC 27001:2022 序文)」とされいる通り、ISMSはリスクマネジメントシステムであると位置付け、リスクマネジメントプロセス改善を進めます。
ISO/IEC 27005:2022 情報セキュリティ リスクの管理に関する手引
事象ベースのアプローチは、詳細なレベルで資産を特定することに多大な時間を費やすことなく、高いレベルの戦略的なシナリオを確立することができる。 これにより、組織は自らのリスク対応の取組みを重大なリスクに集中させることができる。
リスクマネジメントの最適化についてはこちらをご覧ください
1.リスクマネジメント基礎研修(標準90分)
・リスクマネジメンのプロセスとその手法の理解を目的としています
・事象ベースのアプローチ(ISO/IEC 27005:2022準拠)手法適用
・アンケート法によるリスク特定で全ての要員でリスクを特定します
2.リスクマネジメント実践研修(標準180分)
・ワークショップ形式でリスクアセスメント実施を目的としています
・事象ベースのアプローチによりシンプルなアセスメント法を習得し
・リスクへの対応方法についてリスクコミュニケーションを経て検討
3.リスク対応実践研修(標準180分)
・ISMS附属書Aの目的とその内容を正しく理解することを目的としています
・リスクレベルに応じたISMS附属書A管理策の実装方法を習得し
・附属書A管理策への適用状況調査及び適用宣言書を作成します
3.効率的で効果的な内部監査の実施
◉ISMS内部監査業務委託(監査チーム派遣)
1.監査プログラム作成支援(監査工数・監査基準・監査目的の明確化)
2.審査員資格を有する監査チームを編成
3.内部監査計画の作成
4.内部監査の実施(監査チェックシート)
5.内部監査報告書作成及び報告会
6.結果分析(分析チャート作成)
7.是正改善提案(要求)書作成
8.是正計画のフォローアップ
◉ISMS内部監査員育成支援
人材育成支援(内部監査員研修参照)
5段階評価でパフォーマンスを評価します
現状調査による評価結果から設定した目標への達成度評価
①マネジメントシステム評価
②ISMS附属書A管理策評価
・5.組織的管理策評価
・6.人的管理策評価
・7.物理的管理策評価
・8.技術的管理策評価
・#運用属性別評価
③サーバーセキュリティレジリエンス評価
④総合評価
内部監査支援について詳しくはこちらをご覧ください
