審査のご対応、お疲れ様でした!
継続的にセキュリティ活動に取り組むべく、以下にて次年度の計画を立てていきましょう。
1. 審査関連書類のアップロード
認証取得がされましたら、審査機関から証書が送付されてきます。
審査計画書、審査報告書とともに、SecureNavi 上にアップロードください。
(翌年の審査時に必ず見直します)
設定方法
- 設定・参考情報→審査の管理 と進み、以下設定ください。
- 新規取得の場合:1次審査、2次審査を編集してファイルのアップロード
- サーベイランス・更新の場合:該当する審査を編集してファイルのアップロード
2. 改善計画
審査で指摘を受けた点を、改善事項として登録しましょう。
設定方法
以下いずれかの方法で登録できます。
- 設定・参考情報→審査の管理 と進み、
- 該当の審査登録画面 にて「この審査に紐づく改善」を追加する
- 振り返り→改善 と進み、
- 改善事項を追加する
3. プレスリリース
必要に応じてプレスリリースなどで対外的に認証取得の公表をしましょう。
弊社宛に専用フォームから認証取得のご連絡をいただけますと、ご連絡のお礼としてプレスリリースキットをお礼として表示しておりますので、ぜひご活用ください。
認証マーク(認証シンボル/審査機関登録シンボル)の取り扱いは、審査機関ホームページを参照(例:BSI)、または審査機関へ問い合わせの上、正しく掲載しましょう。
4. 年間計画
審査指摘や、残っているリスク対応、マネジメントレビューのフィードバックを勘案して、次年度の計画を立てましょう。維持審査の全体像はこちらをご参照ください。
設定方法
- 設定・参考情報→取り組み期間 と進めて、「取り組み期間の追加」をクリック。
- 「テンプレートから年間計画を作成する」をクリック。
- 作成した計画は「タスク」にて確認をすることができます。
5. 役割の見直し
認証取得後、運用が本格化するにあたり、今までの役割分担に加えて、より現場の方を巻き込んで情報セキュリティ活動を実施していくことが多くなります。
新たな年間計画を遂行するにあたり、ぜひ役割を見直してみましょう。
6. ISMS委員会の開催
年間計画や役割の見直しが完了したら、いよいよ次年度の活動が始まります。
青い委員会ボタンから定期的にISMS委員会を開催し進捗を管理していきましょう。
議事録が以下に記載できます。
7. 目標の見直し
次年度の各部署の目標を再度設定しましょう。
前年度と同じ内容でも良いですが、実施事項は変更がある場合が多いため、前年度の内容を参考に見直しを行なってください。
8. 情報資産・リスクアセスメント・リスク対応の見直し
新しく追加された情報資産の登録はもちろん、現在使わなくなっている情報資産についても見直しを行なってください。
情報資産の見直しを行い、リスクやリスク対応も見直すことで現在のリスクレベルや、対応漏れのリスク対応がないか、社内ルールの再確認にもなります。
9. 社内ルール(管理策)の見直し
社内ルールを確認いただき、変更が生じた場合は管理策と照らし合わせ、社内ルールの変更をかける必要があります。
その結果、「適用宣言書」の変更をかけ、内部監査において、管理策の実施状況と有効性をレビューする必要があります。
10. 力量の見直し
ISMSでは年1回の教育実施が必須となっております。
SecureNaviでは前年度にご受講いただいた教材は再度受講いただくことができませんので、別の教材を配信していただく必要がございます。
SecureNaviでは年1回(毎年5月頃)、「最新の情報セキュリティ20XX」を追加しておりますので、こちらを配信していただくことも可能です。
もっとしっかりした教育を行いたいという場合には、有償にて教材オプションもご用意をしております。詳細は担当者へお問い合わせください。
11. 監視・測定の見直し
定期的な監視・測定を行う社内ルールの見直しや、目標の達成状況について、実施頻度や担当者、実施基準の見直しを行いましょう。
変更なければそのままでも問題はありませんが、しっかりと運用していくことが大切です。
12. 供給者・委託先の見直し、モニタリングの実施
供給者・委託先の登録漏れ、契約期間の登録の確認をしましょう。
現在もお取引のある場合には、今年度のモニタリングの実施をしてください。
モニタリングは契約時、登録時のみでなく、年1回の実施が必要です。
13. 内部監査・マネジメントレビュー
各項目の見直しが全て終わりましたら、内部監査計画を立て、内部監査を実施しましょう。
前年度にチェックできていない項目をメインに、監査項目を決めていきます。(内部監査の手法について、ご提案することも可能でございますので、その場合は担当者へお問い合わせください。)
計画ができましたら、内部監査員に内部監査をしていただき、報告まで完了させます。
内部監査で出た指摘やコメントを改善に登録し、対応が終わりましたらマネジメントレビューにて振り返りを行いましょう。
その他、2年目以降の取り組みについて気になる点がありましたら、ぜひチャットにてお気軽にお問い合わせください。