４．２．３　ISMSの監視及び見直し

ａ）〜ｇ）は原文のままの項目番です。ここでは分かり易い様に掲載順を整理しています。

▼監視
ａ）ルールや管理策は、次の様な監視を行って下さい。

　１）計算などの情報処理結果に間違いがあったら、早く気が付く様な監視
　２）情報セキュリティ違反、事件、事故が起こったら、早く気が付く様な監視
　　　（これには、実際には違反、事件、事故が起こらなくても「起こりそうだった(未遂の)状況」
　　　にも気付く事が出来る様にしておいて下さい。）
　３）代理の人に頼んだ情報セキュリティ活動があるなら、その頼んだ活動がちゃんと期待通り
　　　に行われているかどうか、頼んだ管理職が判断できる様な監視
　４）インジケーター（ランプやアラーム音）を使って、何かあった時に気が付きやすくしておいて、
　　　事件にまでなるのを防ぐ
　５）セキュリティ違反の解決のために、とった行動に効果があったかどうかという監視

　【解説】このａ）は、付属書A.13「情報セキュリティ事件の管理」や、A.15.2「セキュリティポリシー
　　や標準及び技術コンプライアンスの見直し」と一部重なっていますが、全部は重なっていま
　　せんので、ISMSを作り上げる時は抜けない様に注意が必要です。

　　　尚、４）項の”インジケーター”はJIS版では”表示”となってしまっていて意味がわりにくいです
　　が、原文が”indicator”ですから上の様な意味です。


ｃ）管理策がうまく効いているかどうか調べて、セキュリティ上必要な事が満たされているかどうか
　　確かめて下さい。

ｈ）ISMS上の活動や、起こった事の記録をとって下さい（ISMSの効果に影響があるかもしれない
　　程度に重要なものだけで構いません）。(4.3.3項参照)


▼内部監査
ｅ）あらかじめ決めた(以内の)間隔でＩＳＭＳ内部監査をして下さい。

　注）内部監査とは、”自主的に行う”監査という意味です。必ずしも社内の人がやらなければ
　　ならないわけではありません。社外の専門家に依頼して行っても構いません。


▼見直し
ｂ）ＩＳＭＳがうまくいっている(効いている)かどうかという見直しを定期的に行って下さい。
　　ここで見直しの材料にする事項は以下の通りです。

　　・セキュリティポリシーがどれくらい守られていたかという事
　　・管理目的のが満たされているかどうかという事
　　・管理策(手だて)の変更が必要かどうかという事
　　・セキュリティ監査の結果
　　・ISMSがうまくいっているかどうか調べた結果
　　・発生した(しそうだった)セキュリティ事件・事故
　　・何かの提案
　　・外部の人の意見


ｆ）定期的にＩＳＭＳマネジメントレビューを実施して下さい。

　【解説】このｂ、ｆ）は、7.1〜3項に書かれているマネジメントレビューとほぼ完全に重なります。


ｇ）この監視・見直しで何か結果が出たら、情報セキュリティの計画類も見直してそこへ盛り込んで
　　下さい。

　【解説】JIS版では”セキュリティ計画を更新する”と書いてあるので、「ここまでに、ISO27001に
　　書かれていないが『セキュリティ計画』というものが作られていなければならない」という誤解を
　　生みそうです。
　　　しかし、JIPDECやBISジャパン経由の情報によると、ISO技術委員会では、「『セキュリティ
　　計画』とは、『ISMSで作った様々な計画類』という事を意味していて、何か特別なものを意味
　　してはいない」という見解だという事です。ですから、リスク対応計画や訓練計画や監査計画
　　などのISMS上作った色々な計画類と受け取って下さい。
　　　JISが「セキュリティ計画」と訳さずに、「セキュリティの計画類」と訳してくれていれば発生しな
　　かった問題です。


▼残留リスク
ｄ）残っているリスク（残留リスク）と、許容できるリスクのレベルについて見直して下さい。
　この見直しでは下の事を考えに入れて下さい。

　　・会社（の情報セキュリティに対する考え方など）の変化
　　・世間の技術の進化や会社で使っている技術の変化
　　・事業上の目標や仕事のやりかたの変化
　　・情報資産の狙われ具合(脅威)の変化
　　・やっている管理策の効き具合
　　・社外の状況（例えば、法規制の変更、社会の関心）の変化

　【解説】社会の関心の変化とは、例えば個人情報の漏洩に敏感になって来るなどがあります。

　　尚、このｃ）は7.3項ｂ）とほとんど重なっています。7.3b)5)を7.3b)１〜3)を考慮して行って下さい
　　と書かれているだけの様なものです。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則