「いそまね」の機能と運用、目的について。
ポータル画面
「いそまね」のポータル画面です。
PDCAサイクルの各フェーズ(Plan、Do、Check、Action)ごとに活動が書かれていますので、
ISO認証取得に向けて1つずつ確認・対応を行います。
新規取得の場合
新規取得では、コンサルタントとともに全活動への初期入力と以降の対応を行い、審査立会とその後の是正処置まで行います。
認証の継続・更新の場合
次年度からの認証の継続・更新では、コンサルタントとともに重点的な活動(リスクアセスメント、教育、内部監査、マネジメントレビュー、審査、是正処置)を対応していきます。
それ以外の活動を社内で進めて頂くことになります。質問は随時受け付けております。
(コンサルタントを伴わず、「いそまね」の運用費用だけで社内で進めて頂くことも可能です。)
⇒管理責任者が独立して運用できるようになることを目指します。
※以下はISO 27001の画面です。
初めに「情報セキュリティ方針」と「適用範囲」を決定します。
次に順守する「法令規制一覧」を確認し、構築のための「マニュアル文書」「文書・規程類」を保管します。
更に、資産グループごとに「リスクアセスメント」を行い、リスク対応としてISO管理策を充当した「適用宣言書」を策定、及び活動の「年間計画」を作成し、迷わず進められる体制をつくります。
組織内の「コミュニケーション」の取り方を構築し、「関係当局/専門組織との連絡先」も確認します。
またISO認証のための「教育・訓練計画」を策定・遂行します。
(以降、他の活動へ進みます。)
内部監査を実施するために「内部監査計画」「内部監査チェックリスト」を策定し、内部監査を実施します。
その結果を受けて、組織として「マネジメントレビュー」を行い、改善点を明確にします。
是正処置を実施し「是正処置報告書」へ記入します。
発生した事象への対応記録も「セキュリティ事象」(ISO 27001の場合)に記録します。
運用しやすい機能性
運用しやすいように設計された機能の例です。
※以下はISO 27001の画面です。
リスクアセスメント(資産グループごとに実施)
資産グループに対して「想定脅威」を入力すると、資産グループ固有の重要レベルに応じて「リスク値」が算出されます。
更に事前設定した「リスク受容基準」を下回らない場合、赤く表示されます。
リスク値が赤くなった場合は、リスク対応の方策として選択した「ISO管理策」名と、「リスク対応」の方法(「低減」など)を記録するようになっています。
活動計画(イベント)のリマインド機能
活動(例えば「リスクアセスメント」「教育・訓練記録」「内部監査報告書」「マネジメントレビュー」「是正処置報告書」など)の年間計画はカレンダーにも連携されるため、今後の計画を確認しやすくなっています。
活動に対して、以下のように未実施の場合はリマインドメールが送信されるため、忘れることがありません。
