ISMS全般
ISMS全般に関連する質問とその回答です。
簡便的に対象範囲をとらえると、「事象>インシデント>事件・事故」のように理解をしました。 とは言え、英語に訳すると、「event>incident>Incident and Accident」となるので、「event>i…
社として利用を認可したコミュニケーションツールでSlackやSkypeなど有料無用にかかわらず、委託先管理の一環として、管理者名・利用者数の把握とともにホームページで規約やプライバシーポリシーの定期印刷により審査管理して…
審査費用とは別にその他(書類など)にもISMS取得までに諸経費でかかるものはあるのでしょうか。
物理的セキュリティに関する、情報資産の記載方法、情報資産の洗い出しについて教えてください。 たとえば、工場などの場合、工場敷地と建物があると思います。また、工場建物がA棟、B棟と別れている場合や、A棟が1F、2F、3Fと…
弊社では清掃やウォーターサーバやWebサイト運用などを外部委託しています。 委託内容が様々になる場合はセキュリティ事項も個別に作成する必要がありますでしょうか。 弊社で用意しているセキュリティ要求事項は主に以下のようなも…
1.サーバやネットワーク機器のセキュリティ保護について 弊社サーバー(1台)やネットワーク機器のセキュリティ保護について、下記施策2点のいずれかで検討しています。 サーバールームを新たに設置する 鍵付きのサーバーラックに…
外部顧問契約者に、ISMS適用範囲の事業におけるマネージャー業務を委託しております。 具体的には課の運営管理やOffice365などの外部サービス管理者、社員採用業務、マーケティングなどです。 このような場合の外部顧問契…
インシデント管理体制の情報セキュリティ推進責任者は、経営層や管理層ではなく、一般の正社員、または顧問契約している外部の人間をアサインできますか。
資産の評価についてですが、例えばオフィスパソコンの可用性を評価するといった場合、パソコンは何台もあるのですが、そのうち1台が利用不可能になった場合で評価するのか、それとも全てが利用不可能になった場合で評価するのかが分かり…
外部メールサービス(GmailやOCNメール)のメールデータや、クラウドサービスに保存されているデータ等に関してですが、情報資産としての価値はあるのですが、それ自体は適用範囲内には存在しません。 こういったデータは、台帳…