Top / 8. 運用
HTML convert time: 0.009 sec.

8. 運用

Last-modified: 2017-01-03 (火) 19:06:20

ISO27001 > ISO27001:2013 > 4. 組織の状況 > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > A.5 情報セキュリティのための方針群 > A.6 情報セキュリティのための組織 > A.7 人的資源のセキュリティ > A.8 資産の管理 > A.9 アクセス制御 > A.10 暗号 > A.11 物理的及び環境的セキュリティ > A.12 運用のセキュリティ > A.13 通信のセキュリティ > A.14 システムの取得、開発及び保守 > A.15 供給者関係 > A.16 情報セキュリティインシデント管理 > A.17 事業継続マネジメントにおける情報セキュリティの側面 > A.18 順守 > 情報セキュリティ用語

8. 運用

この箇条は、PDCA サイクルの「Do 」に対応するところです。

「8.1 運用の計画及び管理」

(箇条 4 から箇条 7までが、「Plan 」に対応)
「8.1 運用の計画及び管理」で、情報セキュリティ目標を達成するために、組織は、必要なプロセスを計画し、実施し、かつ管理しなければならない、
そして、6.2 で決定した情報セキュリティ目標を達成するために、 計画を導入しなければならない、という要求事項が記載されています。

「8.2 情報セキュリティリスクアセスメント」

ここは ISMS 固有の要求事項です。

情報リスクアセスメントは、6.1.2 で決め た基準を考慮に入れ、あらかじめ定められた間隔、または重大 な変化が生じた場合に実施しなければならない、とされています。

8.2 では、情報セキュリティリスクアセスメントを 6.1.2 a)で確立した基準に従って、あらかじめ定めた間隔、また必要な都度(重大な変更が提案されたか若しくは重大な変化が 生じた場合)、実施することが要求されています。

組織内外の環境は、常に変化しているため、リスクも変動していることを念頭に置き、リスクアセスメントを適時に実施することが必要です。

なお、重大な変更が提案され若しくは重大な変化が生じた場合の情報セキュリティリスクアセスメントの実施は、JIS Q 27001:2014 で新たに追加された要求事項となっています。

「8.3 情報セキュリティリスク対応」

ここも ISMS 固有の要求事項であり、情報セキュリティリスク対応計画を導入しなければ ならない、とされています。
そして、情報セキュリティリスク アセスメント、及び情報セキュリティリスク対応の結果については、文書化された情報を保持しなければならない、とされています。

8.3 では、8.2 での情報セキュリティリスクアセスメントの結果により、対策の必要のあるリスクへの対応策を実施すること、及び対応結果の文書化した情報を保持することを規定しています。

情報セキュリティリスク対応計画については、6.1.3 においてこれを作成するプロセスを定め、適用することが求められています(6.1.3 参照)。

情報セキュリティリスク対応計画は、8.2 に従って実施した情報セキュリティリスクアセスメントの結果を考慮して(6.1.3 a))実施することとなります。








情報セキュリティマネジメントシステム コンサルティング

2013年版への移行支援コンサルティング、2013年版での新規認証取得支援のコンサルティングを行っております。

御見積りは信頼と実績のタテックスまでお問合せください。

   お問合せは、ここをクリック→お問合せ