ISMS確立手順
| STEP1 | SMSの適用範囲を定義する。 |
| STEP2 | ISMS基本方針を策定する。 |
| STEP3 | 適用範囲及び基本方針に基づき、リスクアセスメントの体系的な取り組み方法を策定する。 |
| STEP4 | 保護すべき情報資産に対するリスクを識別する。 |
| STEP5 | リスクアセスメントを実施する。 |
| STEP6 | リスクアセスメントの結果、リスクの重要ができない場合にはリスク対応の選択肢を明確にし評価する。 |
| STEP7 | リスク対応に基づき、実施すべき管理目的と管理策を選択する。 |
(出典:財団法人 日本情報処理開発協会)
コンサルから認証までの流れ
ISMS文書の一覧例社内推進体制
| 1.ISMS基本方針 | 11.個人情報授受簿 |
| 2.ISMSマニュアル | 12.委託先選定シート |
| 3.ISMS管理規程 | 13.教育計画書 |
| 4.適用宣言書 | 14.教育実施記録 |
| 5.関連法規一覧表 | 15.確認テスト |
| 6.資産管理台帳 | 16.文書体系図 |
| 7.リスク分析表 | 17.文書管理台帳 |
| 8.リスク対応計画表 | 18.記録管理台帳 |
| 9.管理策有効性測定記録簿 | 19.問い合わせ受付簿 |
| 10.入退室管理簿 | 20.運用確認シート |
その他経費
ISMS取得および維持管理を行う為には、組織として種々の対応策が必要となってきます。
その対応策は汽車のセキュリティポリシーによって対応策が異なってまいります。
以下のような分析をしたのち、必要な対策を明確にし、ハード・ソフト両面で費用積算することをお勧めいたします。
| 大項目 | 検討項目 | 実施 | 現状 |
| (1)物理的及び環境セキュリティ対策 | |||
| I:ハードウェア設備環境の整備 | × | 情報系サーバは施錠サーバラック内で問題ないが、ノートパソコン施錠管理は徹底されていない。 | |
| II:電源環境の整備(停電時の対策など) | ○ | 情報系サーバはUPS電源管理。ノートパソコンはUPS電源管理ではないが、バッテリ充電されており問題なし。 | |
| III:マシン室の入退室管理 | ○ | 指紋認証導入済み。 | |
| I:ユーザ、パスワードなどの管理 | ○ | ドメインユーザ管理未実施。ワークグループで端末ごとにユーザ名とパスワードを設定。一覧を管理。 | |
| II:不正ライセンス使用の禁止 | ○ | ソフトの不正インストール禁止は周知されているが、管理監視はされていない。 | |
| III:情報資産のアクセス追跡 | × | 未実施。 | |
| I:ネットワークの管理 | △ | コンピュータ一覧(端末名、IPアドレス)管理 | |
| II:外部不正侵入対策 | × | 離席時ログオフまたはロックなどが徹底されているかは個人ごとである。 | |
| III:コンピュータウィルス侵入:流出対策 | ○ | ワクチンソフト導入している。ウィルススキャンは随時最新に更新。 | |
| IV:情報資産の流出対策 | × | 個人ごとの管理に委任。 | |
| V:情報資産の盗難対策 | × | ノートパソコン施錠保管は未徹底。机上に放置されたままが見受けられる。 | |
| I:情報システムなどの機器管理 | × | 個人ごとにノートパソコン配布しているようだが、管理は個人ごとの保管責任。 | |
| II:情報システムなどの機器整理 | × | 個人ごとにノートパソコン配布しているようだが、管理は個人ごとの保管責任。 | |
| III:コンピュータウィルス対策 | ○ | ワクチンソフトは常に最新に保たれている。 | |
| IV:不正アクセス対策 | × | ログ管理や不正アクセス管理は未実施。 | |
| V:情報資産のバックアップ対策 | △ | サーバにはLTD(バックアップテープ装置)がついている。個人端末については未実施。 | |
| VI:システムの信頼性向上 | ○ | デュアル構成ではないが、特段不安なし。 | |