このページでは、「取り組み期間」と「年間計画」について、それぞれの考え方や
SecureNaviでの実際の設定方法/操作方法を説明します。
(Pマーク用のマニュアルはこちらをご覧ください)
ISMSでは、ある決められた期間(多くの場合は”1年間”)の中で定められた取り組みを行い、
その取り組みを定期的に繰り返していく必要があります。
このことをISMSの「取り組み期間」と呼びます。(または「PDCAサイクル」「スパイラルアップ」などとも呼ばれます)
またISMS期間の大枠である「取り組み期間」を決めた後は、その期間に行う個別のタスクを管理すべく「年間計画」を設定します。(全体感のイメージは上記の図を参照ください)
SecureNaviではこの「取り組み期間」「年間計画」を管理する機能があり、それぞれの期間(開始日と終了日)を設定することができます。
以下のトピックに沿って説明しますので設定を行なっていきましょう。
JIS Q 27001 対応箇所
本文 8.1
「取り組み期間」の考え方&設定
先の説明通り、まずは1年間/1サイクルを想定して設定してみることを推奨します。
(ただし設定期間について明確な定めはありませんので、自社に相応しい期間での1サイクル設定でも問題はありません)
以下に、「取り組み期間」を新規で設定するのか、または継続しての期間を設定するかの2パターンで設定のコツを例示しましたのでご参考ください。
新規の場合(例:認証取得をこれから行う場合)
新しくISMSの構築に取り組む場合、 <取り組み開始日から、認証取得まで> を1つの期間と考えると良いでしょう。
なお、その期間の中でISMSの所定の取り組みをすべて終わらせる必要があります。
(SecureNaviでは”構築ガイド”の各ステップNo.として表現しております)
継続の場合(例:認証取得済み、またはSecureNaviへ載せ替えの場合)
一度審査を終え、無事に認証を取得した後の場合は、 <前回の期の終わりの"翌日"から、次の審査まで> を1つの期間と考えると良いでしょう。
ISMSの審査は、おおよそ1年に一度行われるので、この場合期間の長さは"約1年"になります。
(例:前期が4/末終了 ▶︎ 継続での取り組み期間は「5/1~次年4/末」の1年間で設定する)
もしもまだ次の審査のタイミングがわからない場合も、おおよそ1年間の長さを持った期間を作成しましょう。
- ただ、以上はあくまでよくある設定の方法であり、厳密に従う必要はありません。
期間についても開始日と終了日を1日のズレもない確実な設定を行うのは難しいため、
例えば月単位(X月1日からY月31日まで)といった、ざっくりした期間で期を区切っていくのも問題ありません。 - その取り組みを行うことで自社のISMSを保てることを優先し、「取り組み期間」の設定を行いましょう。
「年間計画」の設定
「取り組み期間」を作成した後は、その期間内に実施するISMS活動のタスクをまとめた「年間計画」を作成する必要があります。
SecureNaviではあらかじめ「年間計画」のテンプレートが用意されていますので、そのテンプレートに従って「年間計画」の”担当者”と”期限”を設定していけば問題ありません。
実際の操作方法
では、早速設定をしていきましょう。
先ずは「取り組み期間」、次に「年間計画」を設定してきます。
「取り組み期間」の設定方法
- SecureNavi画面・左側のメニューから、「計画と運用」▶︎「計画」をクリック
(新規作成の場合は、SecureNavi画面・左上の”ISMS構築ガイド"ボタンを押した後、
ステップNo.1「ISMS年間計画をつくる」からも同じページへ遷移できます) - 遷移したページ内で、右上の<取り組み期間の追加>をクリック
- 表示された編集項目で以下を設定してください
- 期間に名前を付ける :「第1期」「FY2023」 などの期名称を自由記載してください。
- 開始日/終了予定日 :先述通り定めはありませんが、約1年で設定することを推奨します。
(例:23/01/01 開始日~23/12/31 終了予定日)
「年間計画」の設定方法
- 先ずは上記で「取り組み期間」を設定を完了してください。
- すると、SecureNavi画面・左側のメニューから、「計画と運用」▶︎「計画」の一覧に、
1の時にで設定した「取り組み期間」の名称が表示されます。 - 同名称の右側にある<テンプレートから年間計画を作成する>をクリック
- 表示された編集画面の一覧が実行すべきタスク一覧です。
各タスクの横にある<担当者><期限>を全て埋めましょう。- 担当者:一般的に「役割」におけるISMS担当者/責任者の任命メンバー、
またはISMS実務にあたるメンバーが設定されます。
ただし、”内部監査の計画と実施”は内部監査員のメンバーが担うと尚良いです。 - 期限 :おおよその目安で、各1~2週間ほどの間隔を空けて設定すれば大きく問題はありません。
とはいえ、推奨期間は以下に挙げておきますのでご参考ください。
【推奨】以下のタスクは必要期間:2週間、他は1週間で設定する-
-
-
-
-
-
-
- 情報資産の洗い出しの実施・見直し
- リスクアセスメントの実施・見直し
- リスク対応計画の確定
-
-
-
-
-
-
-
- 担当者:一般的に「役割」におけるISMS担当者/責任者の任命メンバー、
- 全ての期間を設定したら、編集画面・最下部の<作成>ボタンをクリック
- すると、2のページ内の<テンプレートから年間計画を作成する>の文字が▶︎<設定済み>に変わります。同箇所をクリックすると、「タスク」の画面遷移し、設定した「年間計画」がタスク一覧として登録されていることが確認できます。
(つまり年間計画の各タスク=今後に行うタスク一覧が自動でTODO設定されており、今後のアクションを円滑に進めやすくなります)
以上で「取り組み期間」▶︎「年間計画」の一連の設定は完了です。
実際にISMS構築を進めていく中で、期間・計画の修正が求められる場合があります。
その際は適宜修正をするなど、進行状況の実態に基づいた内容に修正することを推奨します。
先ずはここで決定した期間でのタスク完了を目指して、自社のセキュリティコンプライアンス構築を行なってください。