NSS株式会社 サービスサイト

各種ISO取得、運用サイト【ISOプロ】

Yahoo検索ランキング1位 イプロスカタログランキング1位

印刷業のISO27001の適用範囲と要求事項

ISOプロ担当者

印刷業を営んでいる企業の経営者だとISO27001の認証についても関心を示しているのではないでしょうか。印刷関連の事業に関わらず現在では多くの会社がISO27001の認証取得を考えていますが、適用範囲や要求事項などがいまいちよく分からないという方も多いはずです。そこで、ここではISO27001の適用範囲や要求する事項などについてお話したいと思います。

■情報セキュリティマネジメントシステム

情報セキュリティマネジメントシステムには一般要求の事項やISMSの確立及び運営管理、文書化に関する事項などがあります。マネジメントシステムを構築するにあたってベースとなる考え方について要求されている項目であり、リスクマネジメントに関する内容などもこの項目に含まれています。一般要求における事項にはそこまで重要な項目はないものの、もっとも基本となる部分ですから疎かにするわけにはいきません。

ISMSの確立及び運営管理には非常にたくさんの項目が存在します。重要な部分はいくつもあるためすべてを紹介することはできませんが、基本方針の制定には目的を設定するための枠組みも含まれていますから軽視はできません。ほかにもリスクアセスメントの定義やリスクの特定といった項目があります。

■経営陣の責任

情報セキュリティシステムを構築し、高度なセキュリティを実現するために必要となる資源分配などについての項目となります。そのために企業の経営陣、トップが果たす役割やどのようなことをしなくてはいけないかといったことが要求されています。経営陣のコミットメントですが、ここで言われている経営陣というのは必ずしも企業のトップということではありません。企業のトップというと社長や会長などが該当しますが、ここで言われている経営陣というのは必ずしも社長などではなくあくまでマネジメントシステム上のトップであるということを理解しておきましょう。

規格の適用ですが、規格上ではISMSの基本方針の確立や目標計画の確立を確実にすること、セキュリティのための役割の確立、法律の遵守、セキュリティ目的の重要性を社内に周知させるといったことが定められています。これらのことを行うのはセキュリティマネジメント上のトップであると定義しています。

経営資源の運用管理や提供ですが、ISMSの運用や維持改善は経営陣の責任において行うことが明確にされています。また、要求事項を満たすことに情報セキュリティの手順が寄与できるようにする、管理策の適用とセキュリティの維持なども経営陣の責任で行うことと定められています。ここで言われている資源ですが、これはお金のことだけでなくそこで働く人や技術、ノウハウなども資源とされていますから注意しましょう。

■ISMSのマネジメントレビュー

トップマネジメントによる見直しや改善のことがマネジメントレビューと呼ばれるものです。マネジメントレビューによって報告しなくてはいけないことについて要求されていますから、ここも重要な部分と言えるでしょう。一般で要求されているのは経営陣による最低一年に一度のレビューです。情報セキュリティの基本方針や目的、改善や変更の必要性についてのレビューが必要だとあります。

レビューへのインプットはレビューを実施するときに確認すべき情報についての項目です。ISMS監査とレビューの結果や利害関係者からのフィードバック、予防処置や是正処置の実施状況、マネジメントシステムの有効性測定をした結果などが挙げられます。また、内外からの改善提案などについても要求されていますから覚えておきましょう。

■ISMSの改善

ここはマネジメントシステムを構築するうえでベースになる考え方であるPDCAのサイクルやマネジメントシステムを運用することによって起こる文書や記録の管理についてさまざまな要求がされています。項目そのものは少ないものの、実際に実現が必要となる要求項目すべてが凝縮されていると言っても過言ではないため疎かにはできません。

継続的改善には、セキュリティマネジメントシステムは導入と運用だけが重要なのではなくその後の継続的な改善が重要であるということを要求しています。ここで改善対象となるのは有効性で、情報資産がシステムを運用するうえで確実に保護されているか、運用上も支障のないルールになっているかといったことを示しています。有効性が損なわれている部分に関して常に改善を行うというものはこの継続的改善に該当します。

まとめ

ISO27001の印刷業における適用や要求の事項について説明してきました。すべてを説明することはできなかったものの、重要な部分については説明できたのではないでしょうか。印刷関連の事業を営む企業において情報管理やセキュリティ対策は必須ですから、企業としての成長を促すためにもISO27001の運用を検討してみてはいかがでしょう。

ISOプロでは月額3万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額3万円からご利用いただけます。

関連する記事・ページ

TOP