6.3 変更の計画策定
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社 |
| 箇条番号 | 6.3 |
| 分類 | 計画策定 |
組織がISMSの変更の必要があると決定したとき、その変更は、計画的な方法で行わなければならない。
ISMSの変更が必要な場合に、その変更を計画的かつ体系的に実施することで、ISMSの完全性を維持し、意図しない悪影響を防止するため。
実施の手引き
Section titled “実施の手引き”ISMSの変更には、以下のようなものが含まれる。
- 情報セキュリティ方針の改訂
- 情報セキュリティ目的の変更
- 組織構造の変更
- 情報セキュリティ関連規程の改訂
- 管理策の追加・変更・削除
- リスクアセスメント手法の変更
- 適用範囲の変更
変更を計画する際には、以下の事項を考慮する。
- 変更の目的及び潜在的な結果
- ISMSの完全性への影響
- 資源の利用可能性
- 責任及び権限の割当て又は再割当て
当社における実施状況
Section titled “当社における実施状況”変更管理の原則
Section titled “変更管理の原則”当社では、ISMSの変更を以下の原則に基づき計画的に実施する。
| 原則 | 内容 |
|---|---|
| 計画性 | 変更の目的、内容、影響範囲を事前に明確化する |
| 承認 | 変更は情報セキュリティ責任者の承認を得て実施する |
| 文書化 | 変更内容及び理由を文書化し、履歴を管理する |
| 伝達 | 変更内容を関係者に適切に伝達する |
ISMSの変更は、以下の契機で検討・実施する。
- マネジメントレビューの結果
- 内部監査の指摘事項
- 情報セキュリティインシデントからの教訓
- 法令・規制要件の変更
- 事業環境・組織構造の変化
- リスクアセスメント結果の変化
- 利害関係者からの要求事項の変化
変更管理プロセス
Section titled “変更管理プロセス”規程の軽微な修正(誤字脱字、参照先の更新等)については、情報セキュリティ責任者の確認のもと、随時実施する。
以下の重要な変更については、計画的なプロセスに従って実施する。
| ステップ | 内容 | 責任者 |
|---|---|---|
| 1. 変更の提案 | 変更の必要性、目的、内容を明確化 | 提案者 |
| 2. 影響評価 | ISMSへの影響、リスク、必要な資源を評価 | 情報セキュリティ委員会 |
| 3. 承認 | 変更計画の承認 | 情報セキュリティ責任者 |
| 4. 実施 | 変更の実施、文書の更新 | 担当者 |
| 5. 伝達 | 関係者への変更内容の伝達 | 情報セキュリティ委員会 |
| 6. 有効性確認 | 変更後の有効性を確認 | 情報セキュリティ責任者 |
ISMSに関する文書の変更は、以下の方法で管理する。
- 版管理: 文書のバージョン番号及び改訂日を明記
- 変更履歴: 主要な変更内容を記録
- 承認記録: 承認者及び承認日を記録
- 保管: ISMS文書管理システム(本サイト)にて一元管理
重要な変更については、以下の情報を記録する。
- 変更日
- 変更内容
- 変更理由
- 承認者
- 影響を受ける文書・プロセス
定期的な見直し
Section titled “定期的な見直し”ISMSの変更管理プロセス自体も、年1回のマネジメントレビュー(8月)において有効性を確認し、必要に応じて改善する。