8.1 運用の計画策定及び管理

項目	内容
改訂日	2024.04.01
適用範囲	全社
箇条番号	8.1
分類	運用

要求事項

組織は、次に示す事項の実施によって、要求事項を満たすため、及び箇条6で決定した活動を実施するために必要なプロセスを計画し、実施し、かつ、管理しなければならない。

• プロセスに関する基準の設定
• その基準に従った、プロセスの管理の実施

組織は、プロセスが計画どおりに実施されたという確信をもつために必要とされる、文書化した情報を利用可能な状態にしなければならない。

組織は、計画した変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて、有害な影響を軽減する処置を講じなければならない。

組織は、ISMSに関連する、外部から提供されるプロセス、製品又はサービスが管理されていることを確実にしなければならない。

目的

箇条6で計画したリスク及び機会への対処活動、リスクアセスメント、リスク対応を確実に実施し、ISMSの意図した成果を達成するため。

当社における実施状況

プロセスの計画及び実施

当社では、ISMSの運用に必要なプロセスを以下のとおり計画し、実施している。

主要なISMSプロセス

プロセス	基準・手順	実施頻度	責任者
リスクアセスメント	14. 情報セキュリティリスクアセスメント	年1回（8月）及び臨時	情報セキュリティ責任者
内部監査	1. 組織的対策	年1回（8月）	監査・点検責任者
マネジメントレビュー	1. 組織的対策	年1回（8月）	情報セキュリティ責任者
インシデント対応	10. インシデント対応及び事業継続管理	随時（発生時）	インシデント対応責任者
教育・訓練	2. 人的対策	入社時及び年1回	教育責任者
アクセス権管理	4. アクセス制御及び認証	随時（イベント駆動）	システム管理者

プロセスの基準

各プロセスの基準は、対応する規程・手順書に定めており、以下の観点を含む。

• 実施の契機・頻度
• 役割と責任
• 入力情報と成果物
• 実施手順
• 記録の管理

変更管理

計画した変更及び意図しない変更については、6.3 変更の計画策定に基づき管理する。

計画した変更の管理

変更の種類	管理方法	承認者
規程・方針の改訂	変更管理プロセスに従い承認後実施	情報セキュリティ責任者
システム構成の変更	8. システム開発及び保守に従い実施	システム管理者
組織体制の変更	変更内容を文書化し、関係者に伝達	情報セキュリティ責任者

意図しない変更への対応

意図しない変更（インシデント、障害等）が発生した場合は、10. インシデント対応及び事業継続管理に従い、影響を評価し、必要な是正処置を講じる。

外部から提供されるプロセス、製品又はサービスの管理

当社はクラウドサービスを前提とした事業運営を行っており、外部から提供されるサービスの管理は以下のとおり実施している。

クラウドサービス（SaaS/PaaS/IaaS）

• 導入時の評価： 13. SaaS導入・シャドーIT管理に基づき、情報セキュリティ責任者の承認を得て導入
• 継続的な管理： 7. IT基盤運用管理に基づき、システム管理者が運用管理
• 見直し： 重大なセキュリティインシデント発生時、仕様変更時等に再評価

委託先

• 評価・選定： 9. 委託管理に基づき、情報セキュリティ対策を確認のうえ選定
• 契約： 守秘義務、再委託、事故時の報告等を契約に明記
• 管理： 連絡及び業務内容の確認を通じて、情報セキュリティ上の問題がないことを確認

文書化した情報

プロセスが計画どおりに実施されたことを示す文書化した情報として、以下を保持している。

文書・記録	内容	保管場所
リスクアセスメント報告書	リスク評価結果及び対応方針	ISMS文書管理システム
内部監査報告書	監査結果及び指摘事項	ISMS文書管理システム
マネジメントレビュー議事録	レビュー結果及び決定事項	ISMS文書管理システム
インシデント記録	インシデント対応履歴	YouTrack
教育実施記録	教育の実施状況	Slack記録、カレンダー
変更履歴	規程・システムの変更記録	Git、各システムの監査ログ

関連文書

• 6.1 リスク及び機会に対処する活動
• 6.3 変更の計画策定
• 1. 組織的対策
• 7. IT基盤運用管理
• 9. 委託管理
• 10. インシデント対応及び事業継続管理
• 13. SaaS導入・シャドーIT管理
• 14. 情報セキュリティリスクアセスメント