ISMSシステム構築の流れ

フェーズ1：ISMSの適用範囲及び基本方針を確立する（STEP1〜STEP2）
ISMSの適用範囲及び境界は、事業・組織・所在地・資産及び技術の特徴の見地から定義する。ISMSの基本方針は、事業上及び法令又は規制の要求事項やリスクアセスメントなどから導かれる情報セキュリティに対する要求事項を考慮し、戦略的リスクマネジメント状況、ISMSを確立し維持する組織環境、情報セキュリティの全般的な方向性及び行動指針を確立する。

フェーズ2：リスクアセスメントに基づいて管理策を選択する（STEP3〜STEP7）
決定したISMSの適用範囲・境界及び基本方針に基づき、リスクアセスメントの取組方法を特定する。リスクの特定では、保護すべき資産に対して機密性、完全性、可用性を喪失させる脅威、ぜい弱性及びそれらが事業に及ぼす潜在的な影響の大きさを特定する。リスクアセスメントでは、セキュリティ障害による事業上の損害及び発生可能性を評価した結果でリスクのレベルを算定し、リスク受容基準を使用して、そのリスクが受容できるか、リスク対応が必要かどうか判定する。リスクが受容できない場合、リスク対応として、管理策の適用、リスク受容、リスク回避、リスク移転の選択をする。リスク対応の結論に従って、附属書A「管理目的及び管理策」の表から、適切な管理目的と管理策を選択する。また、組織の必要に応じて追加の管理目的と管理策を採用することもできる。

フェーズ3：リスクについて適切に対応する計画を策定する（STEP8〜STEP10）
経営陣は、選択した管理目的及び管理策についての残留リスクを承認し、ISMSを実施する許可を与える。選択した管理目的及び管理策並びに選択の理由と除外の理由を記載した適用宣言書を作成する。