4.4 情報セキュリティマネジメントシステム
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社 |
| 箇条番号 | 4.4 |
| 分類 | 組織の状況 |
組織は、この規格の要求事項に従って、必要なプロセス及びそれらの相互作用を含む、情報セキュリティマネジメントシステムを確立し、実施し、維持し、かつ、継続的に改善しなければならない。
組織が情報セキュリティを体系的に管理するための仕組み(ISMS)を構築し、継続的に運用・改善することで、情報セキュリティリスクを適切に管理するため。
当社における実施状況
Section titled “当社における実施状況”当社では、JIS Q 27001:2023の要求事項に従い、以下のプロセス及びその相互作用を含むISMSを確立し、運用している。
ISMSの主要プロセス
Section titled “ISMSの主要プロセス”| プロセス | 概要 | 関連文書 |
|---|---|---|
| リスクアセスメント | 情報資産に対するリスクの特定・分析・評価 | 14. リスクアセスメント |
| リスク対応 | 特定されたリスクへの対応策の決定・実施 | 14. リスクアセスメント |
| 内部監査 | ISMSの適合性・有効性の検証 | 9.2 内部監査 |
| マネジメントレビュー | 経営層によるISMSの見直し | 9.3 マネジメントレビュー |
| 是正処置 | 不適合の原因除去と再発防止 | 10.2 不適合及び是正処置 |
| 文書管理 | ISMS文書の作成・承認・配布・改訂 | 7.5 文書化した情報 |
プロセスの相互作用
Section titled “プロセスの相互作用”flowchart TB
subgraph plan["計画(Plan)"]
A1[4.1 組織の状況理解]
A2[4.2 利害関係者の理解]
A3[4.3 適用範囲の決定]
A4[6.1 リスクアセスメント]
A5[6.2 目的の設定]
end
subgraph do_phase["実施(Do)"]
B1[8.1 運用の計画・管理]
B2[8.2 リスクアセスメント実施]
B3[8.3 リスク対応実施]
end
subgraph check["評価(Check)"]
C1[9.1 監視・測定・分析]
C2[9.2 内部監査]
C3[9.3 マネジメントレビュー]
end
subgraph act["改善(Act)"]
D1[10.1 継続的改善]
D2[10.2 是正処置]
end
A1 --> A2 --> A3 --> A4 --> A5
A5 --> B1 --> B2 --> B3
B3 --> C1 --> C2 --> C3
C3 --> D1 --> D2
D2 --> A1
style plan fill:#e3f2fd,stroke:#1976d2
style do_phase fill:#e8f5e9,stroke:#388e3c
style check fill:#fff3e0,stroke:#f57c00
style act fill:#fce4ec,stroke:#c2185b
当社のISMSは、PDCAサイクルに基づき継続的に改善を行っている。
- 年次マネジメントレビュー: 毎年8月に実施し、ISMSの有効性を評価
- 内部監査: 年1回実施し、適合性を検証
- 是正処置: 不適合発見時に原因分析と対策を実施
- 4.1 組織及びその状況の理解
- 4.2 利害関係者のニーズ及び期待の理解
- 4.3 ISMSの適用範囲の決定
- 情報セキュリティ基本方針