４．２．２　ISMSの実施及び運用
　【解説】JIS版では、「導入及び運用」となっていますが、原文では”Implement and operate”
　　です。辞書を見てもimplementに”導入”なんて訳はありませんし、この項はPDCAの”Do”を
　　表現したい項なので「実施」と表現されるべきでしょう。
　　規格協会の翻訳者は”introduction(導入)”と見間違えたのでしょうか？


ａ）『リスク取扱計画』を作成して下さい。
　　リスク取扱計画には、リスク取扱の為にどんな事をするのか、その行動の責任者、その行動
　　の優先度を含めておいて下さい。

　【解説】JIS版では「リスク対応計画」となっています。あまり意味は違いませんが、原文
　　”risk treatment plan”に忠実に「リスク取扱計画」としました。
　　　JIS版では、”appropriate management action”のmanagementを、「マネジメントする人(経営
　　者)」と訳してしまっていますが、普通に読めば「マネジメント(管理する事)」と読んで、直訳
　　「適切なマネジメントを行う(為の)行動」となるでしょう。

　【解説】JIS版では「優先度」が「優先順位」になっていますが、前後のつながりから考えて、
　　「優先度」の方が意味が通じます。


ｂ）作成した『リスク取扱計画』を実施して下さい。
　　これは、少なくとも4.2.1g)で決めた管理目的が達成される程度に実施されなくてはいけ
　　ません。
　　　”実施される”という言葉には、必要な資金が用意される事や、責任者が決められていて、
　　その責任者に必要な権限を与えられている事までを含みます。


ｃ）管理目的を達成するために4.2.1g)で決めた、『管理策』を実施して下さい。

　【解説】決めた管理策は、ここに「やって下さい」と書かれてなくても実施しない事はないと思い
　　ますが．．．。


ｄ）やる事に決めた『管理策(群)』が、うまく効いているかどうか調べる方法を決めて下さい。
　　　また、この”調べる方法”は、過去や他社とうまく比較出来るとか、調べる人やちょっとした事
　　によって結果が左右されない（再現性が良い）とかいうものでなければ困ります。ですから、
　　”調べる方法”の使い方は、そこまで使い方を決めておいて下さい。


ｅ）訓練や意識向上のための活動、（例えば講習会、ポスター掲示、朝礼での議題にするなど）
　　を行って下さい。

ｆ）ＩＳＭＳで決めた事が、ちゃんと行われる様に取り計らって下さい。

ｇ）ＩＳＭＳに必要な資源（資金、設備、ソフトウェア、その他）がちゃんと用意される様にして下さい。

ｈ）情報セキュリティ上の事件や事故が起こったら、それに素早く気付いて、対応の行動がとれる
　　様に、ルールを決めたりするなど、必要な備えを行っておいて下さい。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則