アウトプット
インプットの次はアウトプット。その規格書の内容は…
a)今のISMSで本当に大丈夫か、何かもっと有効な手はないか、などのISMS自体の有効性の改善
b)リスクアセスメント方法やリスク対応計画の見直し
c)次のようなものに変化があった時の「手順と管理策の修正。」の指示
1)JIPDECのISMSユーザーズガイドによると「事業ドメインの重要性の変化」などの本当に事業そっくりそのままが必要とする事項。(規格書では「事業上の要求事項」)事業ドメインとは自分たちの会社の利益を上げるための主力分野のこと。
2)情報セキュリティを守る上で必要な事項
3)今までやってたお仕事のやり方
4)法令や業界内での決まりごとなど
5)取引先やお客様などとかわした契約上、守らねばならないこと。
6)リスクの度合い又はそれをここまでは受け入れますと決める基準
d)これから必要となる経営資源についての決断(新しくモノを買うかなど)
2)情報セキュリティを守る上で必要な事項
3)今までやってたお仕事のやり方
4)法令や業界内での決まりごとなど
5)取引先やお客様などとかわした契約上、守らねばならないこと。
6)リスクの度合い又はそれをここまでは受け入れますと決める基準
e)管理策有効性の測定方法の改善
経営資源とは(情報)資産と違ってもっと根本的な経営上必要なモノ・金・人などの資源のこと。
情報基盤センターではこれらの規格項目それぞれに確認事項とその所見をCIOから書いてもらってアウトプットとしている。
