提供价值

集团为优化ISMS所做的努力概述

ISMS优化目标

ISMS优化的目标是“将ISMS与业务运营相结合，形成维持信息安全水平的最优管理体系”.” This is nothing new; it is the very objective of introducing ISMS.

然而, 如果信息安全水平下降，事件和事故发生, 这一目标将无法实现. 此外, 由于失去实质内容的活动和过度措施而造成的费用膨胀也必须考虑在内.

虽然信息安全的重点是保密性, 如防止个人信息泄露的事件和意外, 对信息完整性和可用性的期望和需求正在增加, 例如业务连续性计划.

ISMS优化目标

为了实现这一目标，必须设定并完成以下目标

1. 识别信息安全级别

以维持信息安全的水平, 重要的是要确定这个水平是高还是低. 这表明管理层担心“为了获得ISMS认证，皇冠.app_官方下载地址|安卓下载-(中国)有限公司已经产生了成本”, 但是什么是信息安全级别, 事件和意外真的不会发生吗?“通过识别信息安全级别, 组织的优势和劣势可以被明确，从而螺旋式上升.

2. 过渡到基于内部审计符合性的有效性审计

遵守标准、法规和规则是根本. 再进一步, 内部审核决定管理体系是否有效. 通过将内部审计转移到管理体系有效性的角度, 促使PDCA循环发现新的风险并对其作出反应.

3. 优化成本

ISMS的大部分成本涉及“人类活动”,包括政策, 目标管理, 活动计划, 风险评估, 以及每个组织的内部审计.
检讨过度措施，推动成本优化, 失去实质内容的信息安全活动, 在每个组织中都有重复的任务.

具体倡议

这描述了实现这些目标的具体计划.
皇冠.app_官方下载地址|安卓下载-(中国)有限公司已经定义了要优化的组织，并尝试从诸如ISMS活动(策略)之类的机制中优化以下项目, 目标, 活动计划), 风险评估, 教育, 内部审计, 事故报告, 管理评审机制.

1. 制定通用的ISMS政策、目标和活动计划、ISMS文件、风险评估政策

信息安全管理组织提供策略, 目标, 以及作为ISMS框架的活动计划. 每个组织都按原样或经过修改使用它, 考虑到其职能的特点.
信息安全管理组织提供与ISMS相关的通用文档. 个别组织不需要ISMS文档.
信息安全管理组织还使风险评估策略变得通用. 对信息资产进行风险评估，并优化评估后的风险响应.

2. 信息安全管理组织的内部审核

内部审核由信息安全管理组织的合格内部审核员进行. 在ISMS优化计划的第一年, 管理组织对待优化组织各部门进行内部审核. 在第一年, 管理机构共对275个部门(日本35个，海外4个)进行了内部审计。.
从第二年开始, 内部审计是根据选定要审计的组织的既定标准抽样进行的.
这是在保持信息安全级别的同时进行成本优化的关键部分.
信息安全管理组织内部审计的特点
信息安全管理组织的内部审计具有以下特点和好处.
信息安全管理组织的审核员进行统一的审核.
按照标准化的审计程序进行审计, 检查表, 以及审计方法, 因此，审计标准和结果的差异是最小的.
对管理体系的有效性进行审核.
审核管理体系的PDCA循环是否得到良好的实施，其有效性是否得到确认.
识别被审计组织的信息安全级别
例如，信息安全级别表示为“B+(正式)”。,”“A-(足够),，并在雷达图中加以说明，以供参考.

无花果. 1-1识别管理级别

被审计组织的抽样
皇冠.app_官方下载地址|安卓下载-(中国)有限公司根据关键信息资产的存在与否等因素对被审计组织的部门进行抽样, 事故和意外, 管理制度的有效性, 以及上一年的信息安全水平.
组织所采取的有效措施被认为是优点, 这些在其他组织的内部审计中也被引入. 除了长处以外, 皇冠.app_官方下载地址|安卓下载-(中国)有限公司也对不符合项的纠正措施提供建议, 事故预防措施, 以及预防复发的措施.
即使在内部审计结束后, 皇冠.app_官方下载地址|安卓下载-(中国)有限公司处理信息安全咨询和第二方审计请求, 使皇冠.app_官方下载地址|安卓下载-(中国)有限公司能够与被审计组织建立更牢固的关系.