ISMS マニュアル
1. 目的
本マニュアルは、{{組織名}}(以下「当組織」という)における情報セキュリティマネジメントシステム(ISMS)の全体像を示し、ISMS の構築・運用・維持・改善に関する基本的な事項を定めることを目的とする。
2. 適用範囲
関連: 4.3 ISMSの適用範囲の決定
2.1 組織の範囲
本 ISMS は、{{組織名}}の{{適用範囲}}に適用する。
2.2 業務の範囲
{{業務範囲の説明}}
2.3 適用除外
本 ISMS の適用範囲から除外する事項はない。 (除外がある場合は、その項目と正当化の理由を記載する)
3. 引用規格及び用語
3.1 引用規格
本マニュアルは、以下の規格に基づいて作成されている。
- ISO/IEC 27001:2022 情報セキュリティ,サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項
- ISO/IEC 27002:2022 情報セキュリティ,サイバーセキュリティ及びプライバシー保護 - 情報セキュリティ管理策
3.2 用語の定義
| 用語 | 定義 |
|---|---|
| ISMS | 情報セキュリティマネジメントシステム(Information Security Management System) |
| 情報セキュリティ | 情報の機密性、完全性、可用性を維持すること |
| リスク | 目的に対する不確かさの影響 |
| リスクアセスメント | リスク特定、リスク分析、リスク評価のプロセス全体 |
| リスク対応 | リスクを修正するプロセス |
| 管理策 | リスクを修正する対策 |
詳細は用語集を参照。
4. 組織の状況
関連: 4 組織の状況
4.1 組織及びその状況の理解
関連: 4.1
当組織は、ISMS の目的に関連する外部及び内部の課題を決定している。
外部の課題:
- {{外部課題1}}
- {{外部課題2}}
内部の課題:
- {{内部課題1}}
- {{内部課題2}}
4.2 利害関係者のニーズ及び期待の理解
関連: 4.2
| 利害関係者 | 要求事項 |
|---|---|
| {{利害関係者1}} | {{要求事項1}} |
| {{利害関係者2}} | {{要求事項2}} |
| 規制当局 | 法令・規制の遵守 |
5. リーダーシップ
関連: 5 リーダーシップ
5.1 リーダーシップ及びコミットメント
関連: 5.1
トップマネジメントは、以下によりリーダーシップ及びコミットメントを実証する:
- 情報セキュリティ方針及び情報セキュリティ目的の確立
- ISMS に必要な資源の提供
- ISMS の有効性達成の重要性の伝達
- ISMS の意図した成果の達成の確実化
- 継続的改善の推進
5.2 方針
関連: 5.2
情報セキュリティ方針は、別文書「情報セキュリティ方針」として定める。
5.3 組織の役割、責任及び権限
関連: 5.3
| 役割 | 責任 | 担当者 |
|---|---|---|
| トップマネジメント | ISMS 全体の最終責任 | {{代表者}} |
| ISMS 管理責任者 | ISMS の構築・運用・維持・改善 | {{ISMS責任者}} |
| 情報セキュリティ委員会 | ISMS に関する意思決定・レビュー | {{委員会メンバー}} |
| 部門責任者 | 部門内の ISMS 実施 | 各部門長 |
| 従業員 | 情報セキュリティルールの遵守 | 全従業員 |
6. 計画
6.1 リスク及び機会への取組み
関連: 6.1.1 一般
リスクアセスメント及びリスク対応の詳細は、以下の文書に定める:
6.2 情報セキュリティ目的及びそれを達成するための計画策定
関連: 6.2
情報セキュリティ目的は、「情報セキュリティ目的」に定める。
7. 支援
関連: 7 支援、7.5 文書化した情報
7.1 資源
関連: 7.1
トップマネジメントは、ISMS の確立、実施、維持及び継続的改善に必要な資源を決定し、提供する。
7.2 力量
関連: 7.2
ISMS に関わる要員の力量要件及び教育訓練については、教育訓練計画に定める。 教育訓練の記録は「教育訓練記録」に保持する。
7.3 認識
関連: 7.3
全従業員は、以下を認識しなければならない:
- 情報セキュリティ方針
- ISMS の有効性に対する自らの貢献
- ISMS 要求事項に適合しないことの意味
7.4 コミュニケーション
関連: 7.4
| 内容 | 実施時期 | 対象者 | 責任者 |
|---|---|---|---|
| 方針の周知 | 年1回以上 | 全従業員 | ISMS 管理責任者 |
| インシデント報告 | 発生時 | 関係者 | 発見者 |
| 変更の通知 | 変更時 | 影響を受ける者 | 変更責任者 |
7.5 文書化した情報
関連: 7.5
ISMS に必要な文書化した情報の管理については、文書管理規定に定める。
詳細は 7.5 文書化した情報 を参照。
8. 運用
関連: 8 運用
8.1 運用の計画及び管理
関連: 8.1
ISMS の要求事項を満たすために必要なプロセスを計画、実施、管理する。
8.2 情報セキュリティリスクアセスメント
関連: 8.2
リスクアセスメントは、「リスクアセスメント手順」に従い、定期的に実施する。
詳細は 6.1.2 リスクアセスメント を参照。
8.3 情報セキュリティリスク対応
関連: 8.3
リスク対応は、「リスク対応計画」に従い実施する。
詳細は 6.1.3 リスク対応 を参照。
9. パフォーマンス評価
関連: 9 パフォーマンス評価
9.1 監視、測定、分析及び評価
関連: 9.1
ISMS のパフォーマンスを監視、測定、分析、評価する。 記録は「監視・測定記録」に保持する。
9.2 内部監査
関連: 9.2
内部監査は、「内部監査手順」に従い、年1回以上実施する。 結果は「内部監査報告書」に記録する。
詳細は 9.2 内部監査 を参照。
9.3 マネジメントレビュー
関連: 9.3
マネジメントレビューは、年1回以上実施する。 結果は「マネジメントレビュー議事録」に記録する。
詳細は 9.3 マネジメントレビュー を参照。
10. 改善
関連: 10 改善
10.1 継続的改善
関連: 10.1
当組織は、ISMS の適切性、妥当性、有効性を継続的に改善する。
10.2 不適合及び是正処置
関連: 10.2
不適合が発生した場合、「是正処置手順」に従い対応する。 記録は「是正処置記録」に保持する。
11. 関連文書
ISMS 文書
解説・ガイド
改訂履歴
| 版 | 日付 | 変更内容 | 承認者 |
|---|---|---|---|
| 1.0 | {{発効日}} | 初版作成 | {{承認者}} |