情報セキュリティ規程~テンプレート~

IPO・バリュエーション

ここでは情報セキュリティ規程のテンプレートを提示します。
IT統制の基礎にもなるので、会社の実情や方針に照らし合わせてカスタマイズしていきましょう。

関連規程はこちら↓になります。

スポンサーリンク
スポンサーリンク

第1章 総則

(目的)
第1条
本規程は、当社の情報セキュリティ基本方針について、その適用範囲、組織、責任、リスクマネジメントの方針などを明確にし、情報セキュリティ基本方針の遵守を確実にすることを目的とする。

(適用範囲)
第2条
本規程の適用範囲は、「ISMS適用範囲」に別に定める。

第2章 引用規格

(引用規格)
第3条
本規程は、「JIS Q 27001:2006」の規格を引用している。

スポンサーリンク

第3章 用語及び定義

(用語及び定義)
第4条
本規程で掲げる用語及び定義は、以下による。

①情報セキュリティマネジメントシステム(ISMS)
マネジメントシステム全体のなかで、事業リスクに対する取組み方に基づいて、情報セキュリティの確立、導入、運用、監視、レビュー、維持及び改善を担う部分。

②情報セキュリティ
情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい。

③情報セキュリティ事象
システム、サービス又はネットワークにおける特定の状態の発生。特定の状態とは、情報セキュリティ基本方針への違反若しくは管理策の不具合の可能性、又はセキュリティに関連するかもしれない未知の状況を示しているものをいう。

④情報セキュリティインシデント
望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。

⑤機密性
認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性。

⑥完全性
情報の正確さ及び完全さを保護する特性。

⑦可用性
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

⑧資産
組織にとって価値をもつもの。

⑨残留リスク
リスク対応の後に残っているリスク。

⑩リスクの受容
リスクを受容する意思決定。

⑪リスク分析
リスク因子を特定するための、及びリスクを算定するための情報の系統的使用。

⑫リスクアセスメント
リスク分析からリスク評価までのすべてのプロセス。

⑬リスク評価
リスクの重大さを決定するために、算定されたリスクを与えられたリスク基準と比較するプロセス。

⑭リスクマネジメント
リスクに関して組織を指揮し管理する調整された活動。

⑮リスク対応
リスクを変更させるための方策を、選択及び実施するプロセス。

⑯適用宣言書
その組織のISMSに関連して適用する管理目的及び管理策を記述した文書。

スポンサーリンク

第4章 情報セキュリティマネジメントシステム

(一般要求事項)
第5条
事業活動全般及び直面するリスクに対する考慮のもとで、文書化したISMSを確立、導入、運用、監視、レビュー、維持及び改善を行う。このプロセスはPDCAモデルに基づく。

(ISMSの確立)
第6条
① 事業、組織、所在地、資産、技術の特徴の見地から、ISMSの適用範囲及び境界を第2条(適用範囲)で定める。この適用範囲には、適用範囲からの除外について、その詳細及びそれが正当である理由も含める。

② 事業、組織、所在地、資産、技術の特徴の見地から、ISMSの基本方針を、次を満たすように「情報セキュリティ基本方針」に定義する。

  1. 目的を設定するための枠組みを含め、また、情報セキュリティに関係する活動の方向性の全般的認識及び原則を確立する。
  2. 事業上及び法的又は規制の要求事項、並びに契約上のセキュリティ義務を考慮する。
  3. それのもとでISMSの確立及び維持をする、組織の戦略的なリスクマネジメントの状況と調和をとる。
  4. リスクを評価するに当たっての基軸を確立する。
  5. 経営陣による承認を得る。

③ リスクアセスメントに対する組織の取組み方を、次を満たすように「リスクアセスメント手順書」に定義する。

  1. ISMS、特定された事業上の情報セキュリティの要求事項、並びに特定された法令及び規制の要求事項に適したリスクアセスメントの方法を特定する。
  2. リスク受容基準を設定し、また、リスクの受容可能レベルを特定する。選択するリスクアセスメントの方法は、それを用いたリスクアセスメントが、比較可能で、かつ、再現可能な結果を生み出すことを確実にしなければならない。

④ 「リスクアセスメント手順書」に基づき、リスクを次のように特定する。

  1. ISMSの適用範囲の中にある資産及びそれらの資産の管理責任者を特定する。
  2. それらの資産に対する脅威を特定する。
  3. それらの脅威がつけ込むかもしれないぜい弱性を特定する。
  4. 機密性、完全性及び可用性の喪失がそれらの資産に及ぼす影響を特定する。

⑤ 「リスクアセスメント手順書」に基づき、それらのリスクを次のように分析し評価する。

  1. セキュリティ障害に起因すると予想される、組織における事業的影響のアセスメントを行う。このアセスメントでは、その資産の機密性、完全性又は可用性の喪失の結果を考慮する。
  2. 認識されている脅威及びぜい弱性並びに情報資産に関連する影響の観点から、起こり得るセキュリティ障害などの現実的な発生可能性についてアセスメントを行う。その際に、現在実施されている管理策を考慮する。
  3. そのリスクのレベルを算定する。
  4. そのリスクが受容できるか、又は対応が必要であるかを判断する。この判断には、前記③項 2 によって確立したリスク受容基準を用いる。

⑥ リスク対応のための選択肢を特定し、評価する。選択肢には次がある。

  1. 適切な管理策の適用
  2. 組織の方針及びリスク受容基準を明確に満たすリスクの、意識的、かつ客観的な受容
  3. リスクの回避
  4. 関連する事業上のリスクの他者(例えば、保険業者、供給者)への移転

⑦ リスク対応のための、管理目的及び管理策を選択する。

  1. 管理目的及び管理策は、リスクアセスメント及びリスク対応のプロセスにおいて特定した要求事項を満たすために選択し、導入する。この選択には、法令、規制及び契約上の要求事項と同じく、リスク受容基準も考慮する。このプロセスの一部として、JISQ27001の附属書Aの中から、特定した要求事項を満たすために適切なように、管理目的及び管理策を選択する。
  2. JISQ27001の附属書Aに規定した管理目的及び管理策は、すべてを網羅してはいないので、追加の管理目的及び管理策を選択することを考慮する。

⑧ その結果としての残留リスクについて経営陣の承認を得る。

⑨ そのISMSを導入し、運用することについて経営陣の許可を得る。

⑩ 「適用宣言書」を作成する。「適用宣言書」には次を含む。

  1. 前記⑦項によって選択した管理目的及び管理策、並びにそれらを選択した理由
  2. 現在実施している管理目的及び管理策
  3. JISQ27001の附属書Aに規定された管理策の中で適用除外とした管理目的及び管理策、並びにそれらを適用除外とすることが正当である理由

(ISMSの導入及び運用)
第7条
① 情報セキュリティリスクを運営管理するための、経営陣の適切な活動、経営資源、責任体制及び優先順位を特定した「リスク対応計画」を策定する。

② 特定した管理目的を達成するために「リスク対応計画」を実施する。この計画には、必要資金の手当て並びに役割及び責任の割り当てへの考慮を含む。

③ 前記第6条⑦項によって選択した管理策を、その管理目的を満たすために、実施する。

④ 選択した管理策又は一群の管理策の有効性をどのように測定するかを「有効性測定手順」に定める。また比較可能で再現可能な結果を生み出すための管理策の有効性のアセスメントを行うために、それらの測定をどのように利用するかを規定する。

⑤ 教育・訓練及び意識向上のためのプログラムを実施する。

⑥ ISMSの運用を管理する。

⑦ ISMSのための経営資源を管理する。

⑧ 迅速にセキュリティ事象を検知でき、かつ、セキュリティインシデントに対応できるための手順を「障害管理手順書」に定め、その手順及びその他の管理策を実施する。

(ISMSの監視及びレビュー)

第8条
①監視及びレビューの手順並びに他の管理策を、次のために実施する。

  1. 処理結果の中の誤りを迅速に検知する。
  2. 未遂であるか既遂であるかを問わず、セキュリティの違反及びインシデントを迅速に特定する。
  3. 人力にゆだねて又は情報技術を導入して実施しているセキュリティ活動が期待どおりかどうかを経営陣が判断することを可能にする。
  4. セキュリティ事象の検知を補助し、その結果の表示を利用してセキュリティインシデントを防止する。
  5. セキュリティ違反を解決するためにとった処置が有効であるかどうかを判断する。

② ISMSの有効性に関して定期的にレビューする。これには、ISMS基本方針及び目的を満たしていることのレビューとセキュリティ管理策のレビューがある。このレビューでは、セキュリティ監査の結果、インシデント、有効性測定の結果、提案、及びすべての利害関係者からのフィードバックを考慮する。

③ セキュリティ要求事項を満たしていることを検証するために、管理策の有効性を測定する。

④ リスクアセスメントをあらかじめ定めた間隔でレビューする。残留リスク及び特定したリスク受容可能レベルをレビューする。これらのレビューでは、次に起きた変化を考慮する。

  1. 組織
  2. 技術
  3. 事業の目的及びプロセス
  4. 特定した脅威
  5. 導入した管理策の有効性
  6. 外部事情(例えば、法令又は規制の状況、契約上の義務、社会的風潮)

⑤ あらかじめ定めた間隔でISMSの内部監査を実施する。

⑥ 適用範囲が引き続き適切であり、ISMSのプロセスにおける改善策を特定することを確実にするため、年度初めの実施を基本としてISMSのマネジメントレビューを実施する。

⑦ 監視及びレビューの活動から見出された事項を考慮に入れるために、セキュリティ計画を更新する。

⑧ ISMSの有効性又はパフォーマンスに影響を及ぼす可能性のある活動及び事象を記録する。

(ISMSの維持及び改善)
第9条
① 特定した改善策をISMSに導入する。

② 第21条及び第22条に従った適切な是正処置及び予防処置をとる。自他の組織のセキュリティの経験から学んだものを適用する。

③ すべての利害関係者に、状況に合った適切な詳しさで、処置及び改善策を伝える。該当するときは、処置及び改善策の進め方について合意を得る。

④ 改善策が意図した目的を達成することを確実にする。

(文書化)
第10条
文書には、経営陣の決定に関する記録も含める。文書はとった処置から、経営陣の決定及び方針へたどれること、並びに記録した結果が再現可能であることを確実にする。選択した管理策からリスクアセスメント及びリスク対応のプロセスまで、更にはISMS基本方針及び目的までつながる関係を説明できることが重要である。
ISMS文書には、次を含める。

  1. 文書化したISMS基本方針及び目的
  2. ISMSの適用範囲
  3. ISMSを支えている手順及び管理策
  4. リスクアセスメントの方法の記述
  5. リスクアセスメント報告
  6. リスク対応計画
  7. 情報セキュリティのプロセスを有効に計画、運用及び管理することを確実にするために、組織が必要とする文書化した手順。また管理策の有効性をどう測定するかを記述するために、組織が必要とする文書化した手順。
  8. JISQ27001の規格が要求する記録
  9. 適用宣言書

(文書管理)
第11条
ISMSが要求する文書は保護し、管理する。次の事項を行うのに必要な管理活動を定義するために「ISMS文書・記録管理手順書」を策定する。

  1. 適切かどうかの観点から、文書を発行前に承認する。
  2. 文書をレビューする。また、必要に応じて更新し、再承認する。
  3. 文書の改変を特定すること及び現在の改版状況を特定することを確実にする。
  4. 使用する必要があるとき、適用する文書の関連する版が使用可能であることを確実にする。
  5. 文書は読みやすく、かつ、容易に識別可能であることを確実にする。
  6. 文書を、それを必要とする者には利用可能にすることを確実にする。また、文書を、その分類区分に適用される手順に従って受け渡すこと、保管すること、及び最終的には処分することを確実にする。
  7. 外部で作成された文書であることの識別を確実にする。
  8. 文書配付の管理を確実にする。
  9. 廃止文書の誤使用を防止する。
  10. 廃止文書を何らかの目的で保持する場合には、適切な識別を施す。

(記録管理)
第12条
① 記録は要求事項への適合性及びISMSの有効な運用の証拠を提供するために、作成し維持する。

② 記録は、関連する法令又は規制の要求事項及び契約上の義務を考慮して保護し、管理する。

③ 記録は読みやすく、容易に識別可能で、検索可能にしておく。

④ 記録の識別、保管、保護、検索、保管期間及び廃棄のために必要な管理策を「ISMS文書・記録管理手順書」に文書化し、実施する。

⑤ ISMSの確立及び運営管理におけるプロセスのパフォーマンスの記録、及びISMSに関係する重大なセキュリティインシデントすべての発生記録を保持する。

第5章 経営陣の責任

(経営陣のコミットメント)
第13条
経営陣は、ISMSの確立、導入、運用、監視、レビュー、維持、及び改善に対する自らのコミットメントの証拠を、次によって提供する。

  1. ISMS基本方針を確立する。
  2. ISMSの目的及び計画の確立を確実にする。
  3. 情報セキュリティのための役割及び責任を確立する。
  4. 情報セキュリティの目的を満たすことの重要性、情報セキュリティ基本方針に適合することの重要性、法のもとでの責任、並びに継続的改善の必要性を組織に伝える。
  5. ISMSの確立、導入、運用、監視、レビュー、維持及び改善のために十分な経営資源を提供する。
  6. リスク受容基準及びリスクの受容可能レベルを決定する。
  7. ISMS内部監査の実施を確実にする。
  8. ISMSのマネジメントレビューを実施する。

(経営資源の提供)
第14条
組織は、次の事項を行うのに必要な経営資源を決定し、提供する。

  1. ISMSを確立、導入、運用、監視、レビュー、維持及び改善する。
  2. 事業上の要求事項を満たすことに、情報セキュリティの手順が寄与することを確実にする。
  3. 法令及び規制の要求事項並びに契約上の情報セキュリティ義務を明確にし、これを扱う。
  4. 導入したすべての管理策を正確に適用することによって、十分なセキュリティを維持する。
  5. 必要に応じてレビューし、レビューの結果に対して適切に対応する。
  6. 必要な場合には、ISMSの有効性を改善する。

(教育・訓練、意識向上及び力量)
第15条
① ISMSに定義された責任を割り当てた要員すべてが、要求された職務を実施する力量をもつことを、次の事項によって確実にする。

  1. ISMSに影響がある業務に従事する要員に必要な力量を決定し、「セキュリティ教育・訓練手順書」に明記する。
  2. 必要な力量がもてるように教育・訓練を実施するか、又は他の処置(例えば、適格な要員の雇用)をとる。
  3. とった処置の有効性を評価する。
  4. 教育・訓練、技能、経験及び資格についての記録を維持する。

② 関連する要員すべてが、自らの情報セキュリティについての活動がもつ意味と重要性とを認識し、ISMSの目的の達成に向けて、自分はどのように貢献できるかを認識することを確実にする。

第6章 ISMSの内部監査

(内部監査)
第16条
① ISMSの管理目的、管理策、プロセス及び手順について、次の事項を判断するために、年1回以上、ISMSの内部監査を実施する。

  1. JISQ27001規格及び関連する法令又は規制の要求事項に適合しているかどうか。
  2. 特定された情報セキュリティ要求事項に適合しているかどうか。
  3. 有効に実施され、維持されているかどうか。
  4. 期待したように実施されているかどうか。

② 監査の対象となるプロセス及び領域の状況及び重要性、並びに前回までの監査結果を考慮して、監査プロセスを策定する。

③ 監査の基準、範囲、頻度及び方法を定義する。

④ 監査員の選定及び監査の実施においては、監査プロセスの客観性及び公平性を確実にする。又、監査員は自らの仕事を監査してはならない。

⑤ 監査の計画、実施に関する責任及び要求事項、並びに結果報告、記録維持に関する責任及び要求事項を、「情報セキュリティ監査細則」に定める。

⑥ 監査された領域に責任をもつ管理者は、発見された不適合及びその原因を除去するために遅滞なく処置がとられることを確実にする。

⑦ フォローアップには、とった処置の検証及び検証結果の報告を含める。

第7章 ISMSのマネジメントレビュー

(マネジメントレビューの実施)
第17条
① 経営陣は、ISMSが引き続き適切であり、妥当であり、かつ、有効であることを確実にするために、年度初めの実施を基本としてISMSをレビューする。

② 情報セキュリティの基本方針及び目的を含め、ISMSに対する改善の機会及び変更の必要性のアセスメントを行う。

③ レビューの結果は、明確に文書化し、その記録を維持する。

(マネジメントレビューへのインプット)
第18条
マネジメントレビューに対して、次の情報を提供する。

  1. ISMSの監査及びレビューの結果
  2. 利害関係者からのフィードバック
  3. ISMSのパフォーマンス及び有効性を改善するために組織の中で利用可能な技術、製品又は手順
  4. 予防処置及び是正処置の状況
  5. 前回までのリスクアセスメントが十分に取り上げていなかったぜい弱性又は脅威
  6. 有効性測定の結果
  7. 前回までのマネジメントレビューの結果に対するフォローアップ
  8. ISMSに影響を及ぼす可能性がある、あらゆる変化
  9. 改善のための提案

(マネジメントレビューからのアウトプット)
第19条
マネジメントレビューからのアウトプットには、次に関係する決定及び処置を含める。

  1. ISMSの有効性の改善
  2. リスクアセスメント及びリスク対応計画の更新
  3. ISMSに影響を与える可能性がある内外の事象に対応するために、必要に応じた、情報セキュリティを実現する手順及び管理策の修正。そのような事象には、事業上の要求事項、セキュリティ要求事項、現在の事業上の要求事項を実現する業務プロセス、法令又は規制の要求事項、契約上の義務、リスクのレベル及び/又はリスク受容基準について起きた変化が含まれる。
  4. 必要となる経営資源
  5. 管理策の有効性測定方法の改善

第8章 ISMSの改善

(継続的改善)
第20条
情報セキュリティの基本方針及び目的、監査結果、監視した事象の分析、是正及び予防の処置、並びにマネジメントレビューを利用して、ISMSの有効性を継続的に改善する。

(是正処置)
第21条
ISMSの要求事項に対する不適合の原因を除去する処置を、その再発防止のためにとる。又、是正処置のために文書化された「是正・予防処置手順書」では、次のための要求事項を定義する。

  1. 不適合の特定
  2. 不適合の原因の決定
  3. 不適合の再発防止を確実にするための処置の必要性の評価
  4. 必要な是正処置の決定及び実施
  5. とった処置の結果の記録
  6. とった是正処置のレビュー

(予防処置)
第22条
① ISMSの要求事項に対する不適合の発生を防止するために、起こり得る不適合の原因を除去する処置を決定する。とられる予防処置は、起こり得る問題の影響に見合ったものとする。又、予防処置のために文書化された「是正・予防処置手順書」では、次のための要求事項を定義する。

  1. 起こり得る不適合及びその原因の特定
  2. 不適合の発生を予防するための処置の必要性の評価
  3. 必要な予防処置の決定及び実施
  4. とった処置の結果の記録
  5. とった予防処置のレビュー

② 変化したリスクを特定し、大きく変化したリスクに注意を向けて、予防処置についての要求事項を特定する。

③ 予防処置の優先順位は、リスクアセスメントの結果に基づいて決定する。

第9条 その他

(改廃)
第23条
本規程は、取締役会の決議により、改廃する。

附則

本規定はYYYY年MM月DD日より施行する。

以上

コメント

タイトルとURLをコピーしました