ISMSの確立
-
適用範囲を定義する。
-
基本方針を策定する。
-
リスクアセスメントの体系的な取組方法を策定する。
-
保護すべき情報資産に対するリスクを識別
-
リスクアセスメントを実施
-
リスク対応の選択肢を明確にし評価
-
管理目的と管理策を選択
-
セキュリティ基本方針
-
情報セキュリティのための組織
-
資産の管理
-
人的資源のセキュリティ
-
物理的及び環境的セキュリティ
-
通信及び運用管理
-
アクセス制御
-
情報システムの取得、開発及び保守
-
情報セキュリティインシデントの管理
-
事業継続管理
-
順守
-
残留リスクを明確にした上で経営陣の承認
-
運用の許可
-
適用宣言書で明確に公表
ITSMSの導入
-
要求事項の洗い出し
-
方策検討
-
要求事項対応の具体化(ITMSMS文書化:方針、規定、手順書)
-
要求(対顧客要求、ビジネス上要求)
-
リスク対応
-
適用範囲
-
目的の明確化
-
役割・責任割当
-
作業スケジュール
-
資源割当
-
各プロセスの実施
-
内部監査
-
マネージメントレビュー
情報セキュリティー
-
情報が漏洩しないようにする。
-
情報を改ざんされないようにする。
-
情報の取り扱いが手順されていて、その手順が確実に遵守されるようにする。
-
自然災害やシステムダウンなどにより、情報が使えなくなる可能性を低くする。
-
情報利用者(不正利用者を含む)を一意に追跡できることを確実にする特性
-
ある事象がおきた場合に、証明する能力
-
意図した動作及び結果に一致する特性
最終更新:2010年04月28日 17:00
