Backlogを使って、ISMSの年間運用と監査対応をまるごと管理する方法
本記事では、情報システム部門がメンバーとして参画しているISMS事務局での、ISMS運用業務におけるBacklogの活用術をご紹介します。
|
目次
|
■はじめに
ヌーラボでは、セキュリティに関する以下の第三者認証を取得しています。(2025年7月現在)
・ISMS (ISO/IEC 27001)
・ISMSクラウドセキュリティ (ISO/IEC 27017)
・パブリッククラウド内での個人情報保護 (ISO/IEC 27018)
これらの認証では、情報セキュリティを維持・向上するために、方針や体制など要求事項に沿った仕組みを構築すること、運用すること、改善し続けることが求められます。
ヌーラボでは構築した仕組みに沿って、運用や改善が適切に行われるように、
Backlogで専用のプロジェクトを作成し、様々なタスクの管理を行なっています。
■プロジェクト設定
プロジェクト設定の一例は、以下の通りです。
■課題作成
【 STEP1 】ISMS年間計画で発生するタスク
1.ISMS事務局から各部へ連絡を行うタスク(例:ベースライン分析の状況確認)の場合、
親課題で「ベースライン分析の状況確認」の課題を作成します。
2.上記で作成した親課題に対して、
子課題で各部署ごとに「ベースライン分析の状況確認」の課題を作成します。
▼子課題一覧
▼子課題の内容
3.課題完了まで、各部署とやりとり(質疑応答など)を行います。
【 STEP2 】内部/外部監査より指摘事項を受ける
1.ISMS事務局は、指摘事項1つに対し、1つ課題を作成します。
2.指摘事項に対して、対応を実施します。
(Backlogで指摘事項の管理および指摘事項の完了までをBacklogに記録として残します。)
★TIPS
指摘事項に対する「対処内容」「発生原因」「再発防止策の内容」「再発防止策の内容の実施結果」などは、「課題のコメント」に記録するのではなく、「カスタム属性」を利用し記載することで、情報を一元管理しています。
なお、作成しているカスタム属性は以下の通りとなります。
情報システム担当者のみなさま、Backlogでの活用イメージはできましたか?
「自社ではこういう使い方をしているが、もっとうまく活用できないか」
「こんなケースでは、どのように使えば良いか分からない」
といったご相談がありましたら、お気軽に 個別相談会 をご予約ください。
共有する
