禁パチしようぜ!

ギャンブル以外にできること

A6 情報セキュリティのための組織

   

ここから皆さん嫌いな"抽象的"な要求事項がわいてきます…

A.6.1.1 情報セキュリティの役割及び責任
全ての情報セキュリティの責任を定め,割り当てなければならない。

①情報セキュリティの責任は定まっている?

①情報セキュリティの責任。
ハイきた。単語は知ってるけどつなげると意味不明な言葉になります。
一般社員、ISMS管理責任者、経営者…とISMS責任役職を定めて
従業員および役員がどこに当てはまるのかを割り当てるでOKな気がします。
この場合、役員は任命および指揮の責任、
ISMS管理責任者は計画立案・周知の責任、
一般社員は実行責任を負います。

A.6.1.2 職務の分離
相反する職務及び責任範囲は,組織の資産に対する,認可されていない若しくは意図しない変更又は
不正使用の危険性を低減するために,分離しなければならない。

①相反する職務・責任範囲は分離されてるよね?

①~ためにでつなげてよくわかりませんが結論はモンテスキュー。
ネットバンキングであれば、経理部が実施、承認は経営者
資材の購入であれば購入申請は技術部、承認は経理部
少人数で全部総務部がやるよーってところは
部長と部員で職務分けてます、とかでもOK

A.6.1.3 関係当局との連絡
関係当局との適切な連絡体制を維持しなければならない。

①当局との連絡体制はある?

①情報だけに限れば警察のサイバー対策課的な部署の
連絡先があれば十分だと思うが、事業継続となると消防なども対象になる。
余力があれば発生時の社内外の報告フローがあれば尚良しだけど
別にそこまでやる必要もない。

A.6.1.4 専門組織との連絡
情報セキュリティに関する研究会又は会議,
及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持しなければならない。

①当局との連絡体制はある?

①取り急ぎIPAだけでも書いておけばOK。
あとはプロバイダとかサーバレンタル先とか。
情報資産に係るサービス供給者も。

A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ
プロジェクトの種類にかかわらず,プロジェクトマネジメントにおいては,情報セキュリティに取り組まなければならない。

①プロジェクトの情報セキュリティに取り組んでる?

①ではプロジェクトとはなんぞや?を解決するのが近道。
和訳するとか設計計画とかそんなもの。
要はこれからやろうとすることで情報セキュリティ対策から
逸脱するなよ、ということ。
プロジェクトフローがあればそこにISMS順守を組み込むのが手っ取り早くて楽。
無ければプロジェクト遂行にあたりISMSを順守する等の文言をどっかに掲げればOK。

 - A6 情報セキュリティのための組織