ISMSが必要な企業

顧客などの重要な情報を保有している

自社の知的財産などの重要な情報を保有している

もしその情報を漏洩、紛失、破損などしたら、自社の経営に大きな影響がある

顧客と秘密保持契約を結んでいる

 

ISMSの対象範囲

「組織」、「事業」、「所在地」によって範囲を定義する

対象範囲は最初は狭くし、徐々に拡大することも可能

対象となる情報は、電子媒体だけでなく、紙媒体の情報も含まれる

リスクベースのアプローチ

情報資産を洗い出す

情報資産に対するリスクを評価する

評価されたリスクに応じた対策をとる

リスクをあえて受け入れるという意思決定も可能

ISMSの構築、維持に必要なマンパワー

文書作成

教育

内部監査

サーバ、ネットワーク管理を含む運用管理

ISMSの構築期間

基本は1年間が標準

短縮して8カ月は可能

6か月は不可能ではないが、かなりタイト