ブログ

1. 組織の理解

1.1 組織をとりまく課題の理解

当社をとりまく外部の課題と内部の課題を、以下に整理する。

外部の課題

内部の課題

1.2 組織に対する要求事項の理解

当社に関連する利害関係者と、その利害関係者からの、当社のマネジメントシステムに対する要求事項を、以下に整理する。

• 顧客
  • 当社に提供した情報の機密性、完全性、可用性の確保
• 委託先企業顧客
  • 法令順守
• 従業者委託先企業顧客
  • プライバシーの保護、効率的な業務の実施
• 株主
  • 事業継続、信頼性の維持

情報セキュリティ管理者は、当社のマネジメントシステムに関連する法令・規制・ガイドラインなどを特定し、「Seculio 法令管理機能」で管理する。

1.3 マネジメントシステムの適用範囲の決定

当社のマネジメントシステムの適用範囲は以下の通りとする。

• 組織
  • 株式会社クエステトラ
• 所在地組織
  • 京都府京都市中京区御池通間之町東入高宮町206
  • 「オフィスレイアウト図」に記載
• 事業内容
  • クラウド型業務プロセス管理ツールのサービス提供・運営
  • BPMコンサルティング
• ネットワーク
  • 「ネットワーク図」に記載
• 人
  • 「組織図」に記載

2. 方針と目標の決定

2.1 基本方針の決定

2.1.1 基本方針の作成

当社は、以下の方針を策定し、社長の承認を得る。

情報セキュリティ方針

• 情報セキュリティ目標を設定すること。
• 当社や従業者が、情報セキュリティに関するルールや要求事項を順守すること。
• 情報セキュリティマネジメントシステムを継続的に改善すること。
• 社長の氏名

2.1.2 基本方針の公表

「情報セキュリティ方針」は、当社のWebサイトに公表して関係者が閲覧可能な状態にする。

2.1.3 基本方針の見直し

情報セキュリティ管理者は、マネジメントレビュー実施のタイミングで「情報セキュリティ方針」を見直し、必要に応じて修正する。

2.2 目標の決定

• 情報セキュリティ管理者は、全社を対象とした情報セキュリティ目標を定める。
• 情報セキュリティ管理者は、情報セキュリティ目標と、その目標を達成するために必要な実施事項、資源、責任者、期限、結果の評価方法を、「年間実施項目管理表」に記入する。
• 情報セキュリティ管理者は、目標を達成するために必要な実施事項の実施スケジュールを「年間実施項目管理表」に記入し、進捗を管理する。
• 情報セキュリティ目標の決定には、以下の事項を考慮する。
  • （できれば）測定可能であること
  • 外部及び内部の課題やリスクアセスメントの結果

3. 資源

3.1 役割

マネジメントシステムに必要な役割と、その役割が持つ責任及び権限を、以下のように定める。

3.2 能力

3.2.1 必要な能力

マネジメントシステムの取り組みに必要な人々の能力を、以下のように定める。

情報セキュリティ管理者

• 情報セキュリティの必要性・重要性を理解している。
• 社内の業務内容や業務の実態に精通している。
• 社内でリーダーシップを発揮し、従業者に対して指導ができる。
• JIS Q 27001を理解している。
• 「Seculio Eラーニング」のテーマ「ISMS事務局向けガイド」を受講し、テストに合格する。

情報セキュリティ担当者

• 情報セキュリティ管理者の補佐ができる。
• 各部署の業務内容や業務の実態に精通している。
• 各部署においてリーダーシップを発揮し、情報セキュリティに関する指導ができる。
• 当社のマネジメントシステムを理解している。
• 「Seculio Eラーニング」のテーマ「ISMS事務局向けガイド」を受講し、テストに合格する。

内部監査員

• 情報セキュリティに関する幅広い知識を有する。
• 独立した視点から内部監査が実施できる。
• 「Seculio Eラーニング」のテーマ「内部監査員向け研修」を受講し、テストに合格する。

従業者

• 情報セキュリティ方針及び目標を理解し、それらを実現するために、自分がすべき内容を理解し、取り組む事ができる。
• 当社のマネジメントシステムに関するルールを理解し、実践できる。
• マネジメントシステムが有効に機能しなかった場合に起こりうる影響を認識できる。
• 関連する法令、ガイドラインなどを理解し、順守できる。
• 業務の内容に関わらず、常に情報セキュリティを意識できる。

3.2.2 教育

• 情報セキュリティ管理者は、各役割に属する人々が、上記で定めた能力を身に付けるために、役割ごとに、講義やEラーニングを利用した教育を実施する。
• 情報セキュリティ管理者は、教育後に、各役割に人々が、上記で定めた能力を身につけたことを確認するために、役割ごとに、合格属する点を定めた確認テストを実施する（※）。
• 確認テストに合格できなかった人は、追加の教育を受講し、再度確認テストを実施する。
• 教育を実施した結果は、記録として保管する。

※ 情報セキュリティ管理者の教育および確認テストの実施は省略が可能であるが、外部の研修に参加する、外部の教材を利用して学習・テストを行う、外部の試験制度(例えば、IPAが実施する「情報セキュリティマネジメント試験」)を利用するなどにより、必要な能力を身につけ、身につけた証拠を確認できることが望ましい。

3.3 情報資産の特定

情報セキュリティ担当者は、自らの部門で取り扱う情報資産を特定し、「情報資産管理台帳」を作成する。

4. リスクに対処する活動

4.1 情報セキュリティリスクアセスメント

4.1.1 リスクの想定と対応状況

情報セキュリティ担当者は、業務で発生する可能性のある、機密性・完全性・可用性の喪失およびコンプライアンスに関するリスクと、現時点での対応状況を「リスク管理表」に記入する（※）。以下に情報セキュリティの観点ごとに想定されるリスクとその具体例を示す。

※ リスクの洗い出しは、1章で定めた外部及び内部の課題や、利害関係者の要求事項を参考にすることが望ましい。

機密性

• 情報が漏れる
  • 盗難
  • サイバー攻撃による情報漏えい
  • アクセス権の設定ミス

完全性

• 情報を間違える
  • 情報の改ざん
  • 転記ミス
  • 入力ミス

可用性

• 情報がなくなる
  • 紛失
  • 機器故障によるデータ消失
  • 誤操作によるデータ消失
• 情報が使えなくなる
  • 利用しているサービスやサーバのダウン
  • PCの故障
  • パスワードを忘れる

コンプライアンス

• 契約・法令違反
  • ライセンス違反
  • 個人情報の不正利用
  • 法律で定められている保管期間よりも前に廃棄

4.1.2 リスクの発生可能性

• 評価4: 月に1回程度発生する可能性がある
• 評価3: 年に2回以上発生する可能性がある
• 評価2: 年に1回程度発生する可能性がある
• 評価1: 数年に1回発生する可能性がある（＝ほとんど発生しない）

情報セキュリティ担当者は、想定されるリスクの発生可能性の評価を特定し、「リスク管理表」に記入する。

4.1.3 リスクの影響度

情報セキュリティ担当者は、リスクが発生した際の影響度を特定し、「リスク管理表」に記入する。

• 評価5: 会社経営に甚大な影響が及ぶ
  • 大きな補償が必要。利益予想の下方修正が必要。
• 評価4: 会社経営に大きな影響が及ぶ
  • IPAやJPCERT/CC等への報告が必要。補償が必要。
• 評価3: 会社経営にある程度の影響が及ぶ
  • 社外関係者への報告、謝罪が必要。
• 評価2: 該当業務に影響が及ぶ
  • 社内関係者への報告が必要。
• 評価1: ほとんど影響は及ばない
  • 部内での情報共有が必要。

4.1.4 リスク値

発生可能性×影響度で算出する。

4.2 情報セキュリティリスク対応

情報セキュリティ担当者は、リスク値(発生可能性×影響度)を参考にして、今後の対策を判断する。リスク値が6以上、または影響度が4以上の場合、対策に取り組む。

• 判断1: 対策済
  • 既に対策済みであり、新たな追加対策は必要ない。
• 判断2: 対策に取り組む
  • 現状、対策されていない。対策に取り組む。
• 判断3: リスク受容
  • 対策に取り組むべきだが、何らかの理由によりリスクをそのまま受け入れる。

情報セキュリティ担当者は判断結果に応じて、以下に取り組む。

• “対策に取り組む”を選択した場合は、具体的な対策(リスク対応計画)を「対策」欄に記入し、対策後の発生可能性、影響度も記入する。
• いずれの判断にも関わらず何らかのリスクが存在する場合は、「対策しても残る心配事」欄(残留リスク)に記入する。
• 情報セキュリティ担当者は、作成した「リスク管理表」を情報セキュリティ管理者に提出し、業務別リスクアセスメントの結果(リスク対応計画を含む)、及び「対策しても残る心配事」(残留リスク)の内容について承認を得る。
• 情報セキュリティ管理者は、新たに実施するすべての対策について、実施スケジュール及び実施者(実施部門)を明確にし、「年間実施項目管理表」に記入し、進捗を管理する。
• リスク対応の実施者(実施部門)は、「年間実施項目管理表」に基づき、リスク対応を実施する。

4.3 適用宣言書の作成

情報セキュリティ管理者は、情報セキュリティリスク対応の結果をもとに、以下を満たす「適用宣言書」を作成する。また、「摘要宣言書」を社長に提出し承認を得る。

• 実施する管理策及びそれらの管理策を含めた理由
• 実施する管理策が、既に実施済みか否か
• 適用除外(実施しない)とした管理策の、除外(実施しない)理由

6. マネジメントシステムの見直し

6.1 内部監査

• 情報セキュリティ管理者は、内部監査の前に、監査日時、対象、内部監査員を明確にし「監査プランアプリ」で立案する。
• 「監査プランアプリ」のプロセスで指名された内部監査員は、内部監査当日までに、監査のチェック項目をまとめた「監査チェックリスト」を作成し、「監査チェックリストアプリ」で情報セキュリティ管理者の確認を得る。
• 内部監査員は「監査チェックリスト」をベースにして、内部監査を行い、後述の評価基準で不適合、改善の機会を特定する。
• 不適合、改善の機会があれば「監査レポートアプリ」で情報セキュリティ管理者に報告する。
• 内部監査員は、「監査チェックリスト」を情報セキュリティ管理者に提出する。
• 情報セキュリティ管理者は、マネジメントレビューにおいて、社長に対して、内部監査の結果を報告する。

※内部監査の実施は、外部の専門組織に委託することも可能である(委託した場合は、内部監査結果についての報告書が必要である。チェックリストは必須ではない)。

内部監査における評価基準は以下の通り。

「不適合」の基準

• 法令・顧客からの要求(契約内容)を守れていない
• 従業者が当社のルールを知らない、もしくは守れていない
• JIS Q 27001に準拠していない

「改善の機会」の基準

• 不適合には該当しないが、実施が不十分であるか、さらなる改善が望める

以下、内部監査に関する補足。

• 内部監査は、客観性及び公平性を確保するため、内部監査員は自身の所属する部門、または業務の監査を行わないようにすることが望ましい。
• 「監査チェックリスト」は、監査対象者が、(1)当社のルールや要求事項(法令・契約内容・規格など)を順守しているか、(2)マネジメントシステムの有効性に寄与しているか、を確認できるものが望ましい。
• 不適合及び改善の機会の定義は「改善」の章に定めたものを利用する。

6.2 有効性の評価

6.2.1 有効性評価対象の決定

情報セキュリティ管理者は、以下の指標を用いて当社のマネジメントシステムが有効に機能しているかどうかを判断する。

• 情報セキュリティ目標の達成状況
• 内部監査結果の不適合の内容、及び是正処置の状況
• 情報セキュリティインシデントの発生状況及び件数

6.2.2 有効性監視・測定の実施

以下の通り、各指標の監視・測定を行う。

指標1: 情報セキュリティ目標の達成状況

• 実施時期: 目標達成の期限
• 実施者: 情報セキュリティ管理者

指標2: 内部監査結果の不適合の内容、及び是正処置の状況

• 実施時期: 内部監査後～マネジメントレビュー前
• 実施者: 内部監査員、情報セキュリティ管理者

指標3: 情報セキュリティインシデントの発生状況及び件数

• 実施時期: 都度

6.2.3 有効性分析・評価の実施

情報セキュリティ管理者は、マネジメントレビュー前に、有効性評価対象の監視・測定結果を確認し、この1年間、会社のマネジメントシステムが有効に機能していたか分析・評価を行う。これらの取り組みは「マネジメントレビューアプリ」において記録する。

6.3 マネジメントレビュー

1. 情報セキュリティ管理者は、マネジメントレビューを実施する前に、 後述の「マネジメントレビューでの報告事項」を整理し、「マネジメントレビューアプリ」において記録する。
2. 情報セキュリティ管理者は、マネジメントレビューを実施し、社長に対して「マネジメントレビューでの報告事項」を報告する。
3. 社長は、報告を受けて「来年度以降のマネジメントシステムや情報セキュリティに対する、改善の指示」を実施する。
4. 情報セキュリティ管理者は、マネジメントレビュー後、「マネジメントレビューアプリ」においてマネジメントレビューの結果を記録し、社長の承認を得る。
5. 情報セキュリティ管理者は、社長からの改善指示を受けて、必要に応じて、実施スケジュール及び実施者(実施部門)を明確にし、「年間実施項目管理表」に記入し、進捗を管理する。

マネジメントレビューでの報告事項

• 前回までのマネジメントレビューの結果とった処理の状況
• 外部及び内部の課題の変化
• 利害関係者からの要求事項・フィードバック
• リスクアセスメントの結果（「リスク管理表」「年間実施項目管理表」）
• 当社のマネジメントシステムや情報セキュリティの状況
  • 情報セキュリティ目標の達成状況（「年間実施項目管理表」）
  • 内部監査の結果、及び是正処置（「監査レポートアプリ」「指摘事項管理アプリ」）
  • セキュリティ事故の状況（「セキュリティインシデント報告書」）
  • マネジメントシステムの有効性

6.4 改善

6.4.1 不適合・改善の機会の定義

当社は、以下の基準に基づき、「不適合」および「改善の機会」を定義する。

「不適合」の基準

• 外部審査での不適合
• 内部監査での不適合
• 契約内容や法令等への違反(コンプライアンス違反)
• 外部からのクレーム

「改善の機会」の基準

• 外部審査での改善の機会
• 内部監査での改善の機会
• 社内外からの改善提案
• 他社の事故事例

6.4.2 「不適合」に対する再発防止

「不適合」が生じた場合は、すみやかに以下の処置を実施する。

1. 「指摘事項管理アプリ」において、不適合の概要を記録する。「対応の方向性」の項目は、必ず「是正処置票を発行」を選択する。
2. 「是正処置報告アプリ」において、以下の対応を記録する。
3. 不適合となっている状態を修正し、不適合の結果起こってしまった結果があれば、それに対処する。
4. 不適合の発生した「根本原因」を特定する。
5. 類似の不適合が発生する可能性を考慮して、「再発防止策の必要性」を判断する。
6. 必要性があると判断した場合は、「再発防止策」を決定し、実施内容を「年間実施項目管理表」に記入する。
7. 再発防止策が有効であったかを確認する方法（※）、すなわち「再発防止策の有効性確認方法」を決定し、実施内容を「年間実施項目管理表」に記入する。
8. 社長は、再発防止策の結果を、マネジメントレビューにおいて確認し、その効果を検証、確認する。

※ 有効性の確認は、再発防止策の実施からある程度の期間を置くことが望ましい。

6.4.3 「改善の機会」への対応

「改善の機会」が生じた場合は、以下の処置を実施する。

1. 「指摘事項管理アプリ」において、改善の機会の概要を記録する。
2. 「改善の機会」の内容によって「対応の方向性」を選択し、適宜対応する。
   • 対応内容を検討する必要があると判断した場合は、「是正処置報告アプリ」において対応を記録する。対応は、上記『「不適合」に対する再発防止』の対応手順に則る。
   • 対応内容が明確であるが、すぐに対応出来ないと判断した場合は、「年間実施項目に記載」を選択し、具体的な対応の内容、実施スケジュール及び実施者(実施部門)を明確にし、「年間実施項目管理表」に記入する。
   • 対応内容が明確であり、すぐに対応できると判断した場合は、すぐに対応したあと、「既に対応済み」を選択し、対応したことを備考に記録する。
   • 対応不要と判断した場合は、「対応なし」を選択し、対応不要の理由を備考に記録する。

7. 情報セキュリティインシデントへの対応

7.1 インシデントレベルの判定

情報セキュリティ管理者は、従業者から情報セキュリティ事象に関する報告を受けた場合、以下に基づいてインシデントレベル（事故レベル）を判定し対応する。

• レベル0: インシデントに至ってはいないが、ヒヤリハット等によりリスクが顕在化した事象
  • 情報セキュリティ管理者は、従業者と共に顕在化したリスクへの対策を検討し早期に取り組む。
• レベル1: 影響範囲が社内に限定されるインシデント
  • 情報セキュリティ管理者は、インシデントへの対応方針を決定し対応する。対応手順が確立されている場合、手順に基づいて対応する。
• レベル2: 影響範囲が社外に及ぶインシデント
  • 情報セキュリティ管理者は、社長や関係者を招集し、二次被害の防止、原因の特定、被害範囲の特定に取り組む。

7.2 インシデント記録の作成

情報セキュリティ管理者は、全レベルのインシデントについて、その対応結果と再発防止策（レベル0の場合はリスクへの対策）を「セキュリティインシデント対応アプリ」において記録する。レベル1、2については社長に報告する。

7.3 再発防止策への取り組み

情報セキュリティ管理者の主導のもと、再発防止策（レベル0の場合はリスクへの対策）には速やかに取り組む。当日（遅くとも翌営業日）中に “暫定対応” を行う。”恒久対応” の方針は “暫定対応” の中で決定する。

8. 情報セキュリティ継続

8.1 情報セキュリティ継続の計画

災害やシステム障害など、当社にとって「困難な状況」が発生した場合における、情報セキュリティの観点からの要求レベルを以下に定める。

8.2 情報セキュリティ継続の実施

情報セキュリティ管理者は、上記の要求レベルを満たすために必要な手順を整備する。具体的な手順の例として、以下が考えられるが、これらに限らない。

• 復旧手順書(リストア手順書)
• 必要な人員への緊急連絡網

8.3 情報セキュリティ継続の検証、およびレビュー

• 情報セキュリティ管理者は、定めた手順が要求レベルを満たすことを確認するために、定期的(目安として年1回)に、手順に基づいた試験を実施する。運用環境での試験が難しい場合は、検証環境での試験や机上訓練(シミュレーション)でも良い。
• 試験対象や想定する状況は、情報セキュリティ管理者が、都度決定する。
• 試験の結果は、「BCP試験アプリ」で報告し、改善点があった場合は手順を見直す。

2020年6月作成、2020年7月改定、2021年7月改定、2022年12月改定