ISMS マニュアル

ISMS-A02-1.00
株式会社 ●●●●
ISMS マニュアル
－情報セキュリティマネジメントシステム－
株式会社
Copyright(C) ●●● Corporation
●●●●
ISMS-A02-1.00
株式会社 ●●●●
目次
適用範囲 ................................................................................................................................................................. 1
1
1.1 目的 .................................................................................................................................................................. 1
1.2 適用 .................................................................................................................................................................. 1
2
引用規格 ................................................................................................................................................................. 2
3
用語の定義.............................................................................................................................................................. 3
3.1 資産（asset）................................................................................................................................................... 3
3.2 可用性（availability）..................................................................................................................................... 3
3.3 機密性（confidentiality）................................................................................................................................ 3
3.4 情報セキュリティ（information security）................................................................................................... 3
3.5 情報セキュリティ事象（information security event） ................................................................................. 3
3.6 情報セキュリティインシデント（information security incident） ............................................................. 3
3.7 情報セキュリティマネジメントシステム（information security management system,ISMS） ................ 4
3.8 完全性（integrity） ......................................................................................................................................... 4
3.9 残留リスク（residual risk） ........................................................................................................................... 4
3.10 リスクの受容（risk acceptance）................................................................................................................. 4
3.11 リスク分析（risk analysis） ......................................................................................................................... 4
3.12 リスクアセスメント（risk assessment）..................................................................................................... 4
3.13 リスク評価（risk evaluation） ..................................................................................................................... 4
3.14 リスクマネジメント（risk management） .................................................................................................. 5
3.15 リスク対応（risk treatment） ....................................................................................................................... 5
3.16 適用宣言書（statement of applicability）..................................................................................................... 5
情報セキュリティマネジメントシステム（ISMS） ......................................................................................... 6
4
4.1 一般要求事項....................................................................................................................................................... 6
4.2
ISMS の確立及び運営管理................................................................................................................................. 6
4.2.1
ISMS の確立 ................................................................................................................................................. 6
4.2.2
ISMS 導入及び運用...................................................................................................................................... 9
4.2.3
ISMS の監視及び見直し............................................................................................................................ 10
4.2.4
ISMS の維持及び改善................................................................................................................................ 11
4.3 文書化に関する要求事項................................................................................................................................. 12
4.3.1 一般.............................................................................................................................................................. 12
4.3.2 文書管理...................................................................................................................................................... 13
4.3.3 記録の管理.................................................................................................................................................. 14
5
経営者の責任........................................................................................................................................................ 15
Copyright(C) ●●● Corporation
ISMS-A02-1.00
株式会社 ●●●●
5.1 経営者のコミットメント ............................................................................................................................. 15
5.2 経営資源の運用管理..................................................................................................................................... 15
5.2.1 資源の提供.......................................................................................................................................... 15
5.2.2 教育・訓練、認識及び力量 .............................................................................................................. 16
6
ISMS の内部監査 ................................................................................................................................................. 17
（監査の目的）...................................................................................................................................................... 17
（監査の手順）...................................................................................................................................................... 17
7
ISMS のマネジメントレビュー.......................................................................................................................... 18
7.1 一般 ................................................................................................................................................................ 18
7.2 マネジメントレビューへのインプット ..................................................................................................... 18
7.3 マネジメントレビューからのアウトプット ............................................................................................. 19
8
ISMS の改善 ......................................................................................................................................................... 20
8.1 継続的改善..................................................................................................................................................... 20
8.2 是正処置......................................................................................................................................................... 20
8.3 予防処置......................................................................................................................................................... 20
9
改訂履歴表............................................................................................................................................................ 22
Copyright(C) ●●● Corporation
ISMS-A02-1.00
株式会社 ●●●●
適用範囲
1
1.1
目的
（情報セキュリティ基本方針書の目的を挿入する。）
1.2
(1 )
適用
適応範囲
【組織】： ※ ※ ※ 株式会社
【施設】：本社
〒 111-1111
※※支店
東京都千代田区千代田１－１－１
〒 22 2-222 2
東京都中央区中央２－２－２
【対象者】：社長、役員、下記、“ 業務 ” に携わる全社員
【業務】： ※ ※ の開発および ※ ※ の管理業務
【資産】：上記業務、サービスにかかわる書類、データ、 ● ● 情報システム
【ネットワーク】：全社ネットワーク
(2 )
適応除外項目
【除外項目】：なし（除外項目がある場合はその項目を記述する。）
【除外理由】：なし（除外した理由を記述する。）
Copyright(C) ●●● Corporation
1
ISMS-A02-1.00
株式会社 ●●●●
引用規格
2
(1 )
国際規格
ISO/IEC 270 01
『情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求
事項』
In fo rmation
techn olo gy- secu rit y
techn iqu es-in fo rmation
secu rit y
man age men t
syste ms-Requ iremen ts
(2 )
引用規格
ISO/IEC 177 99 :20 05
『情報技術－セキュリティ技術－情報セキュリティマネジメントシステムの実践
のための規範』
Copyright(C) ●●● Corporation
2
ISMS-A02-1.00
株式会社 ●●●●
用語の定義
3
情報セキュリティマネジメントシステムに関する用語は ISO/IEC 2 700 1 の定義を引用す
る。
その他の用語については「 ISM S 用語集」に示す。
3.1
資産（ asset）
）
組織にとって価値をもつもの。【 ISO/IEC 1 3335 -1 :2004 】
3.2
可用性（ availability）
）
認可されたエンティティ（団体等）が要求したときに、アクセス及び使用が可能である
特性。【 ISO/IEC 1 3335 -1 :2004 】
3.3
機密性（ confidentiality）
）
許可されていない個人、エンティティ（団体等）又はプロセスに対して、情報を使用不
可又は非公開にする特性。【 ISO/IEC 13 335 -1 :2 004 】
3.4
情報セキュリティ（ information security）
）
情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認
防止及び信頼性のような特性を維持することを含めてもよい。【 ISO/IEC 1 3335 -1 :20 04 】
3.5
情報セキュリティ事象（ information security event）
）
システム、サービス又はネットワークにおける特定の状態の発生。特定の状態とは、情
報セキュリティ基本方針への違反、若しくは管理策の不具合の可能性、又はセキュリティ
に関連するかもしれない未知の状況を示していることをいう。【 ISO/IEC 1 3335 -1 :20 04 】
3.6
情報セキュリティインシデント（ information security incident）
）
望まない又は予期しない単独又は一連の情報セキュリティ事象であって、事業運営を危
うくする確率、及び情報セキュリティを脅かす確率の高いもの。【 ISO/IEC 133 35 -1 :20 04 】
Copyright(C) ●●● Corporation
3
ISMS-A02-1.00
株式会社 ●●●●
3.7 情報セキュリティマネジメントシステム（ information security
management system,ISMS）
）
マネジメントシステム全体の中で、事業リスクに対する取組み方に基づいて、情報セキ
ュリティの確立、導入、運用、監視、見直し、維持及び改善を担う部分。
参考
マネジメントシステムには、組織の構造、方針、計画作成活動、責任、実践、手
順、プロセス及び経営資源が含まれる。
3.8
完全性（ integrity）
）
資産の正確さ及び完全さを保護する特性。【 ISO/IEC 1 3335 -1:2 004 】
3.9
残留リスク（ residual risk）
）
リスク対応の後に残っているリスク。【 ISO/IEC Guid e 73 :2 002】
3.10
リスクの受容（ risk acceptance）
）
リスクを受容する意思決定。【 ISO/IEC Gu id e 7 3:2 002】
3.11
リスク分析（ risk analysis）
）
リスク因子を特定するための、及びリスクを算定するための情報の系統的使用。
【 ISO/IEC Gu id e 7 3:2002】
3.12
リスクアセスメント（ risk assessment）
）
リスク分析からリスク評価までのすべてのプロセス。【 ISO/IEC Gu id e 7 3:2 002】
3.13
リスク評価（ risk evaluation）
）
リスクの重大さを決定するために、算定されたリスクを与えられたリスク基準と比較す
るプロセス。【 ISO/IEC Guid e 73 :2 002】
Copyright(C) ●●● Corporation
4

Download Report