2022年11月4日
ISMSのセキュリティ方針は「企業や組織にとっての情報セキュリティに関する基本的な考え方」になります。
①基準となる文章の用意 ②目的が適切かの確認 ③要求事項が含まれているかの確認。
この3つの手順でISMSのセキュリティ方針を作成し、社内の人も社外の人も閲覧できるようにしておきましょう。
1.情報セキュリティ方針とは
ISMS(ISO27001)の情報セキュリティ方針とは、
①基本方針 ②対策基準 ③実施手順
で構成される企業や組織の方針(行動指針)です。
分かりやすく言うと
「企業や組織にとっての情報セキュリティに関する基本的な考え方」
を示したものが情報セキュリティ方針になります。
企業にとって情報セキュリティの基盤となるものなので、ISMSでも作成が義務付けられています。
2.情報セキュリティってそもそも何?
情報セキュリティには3つの要素があります。
①機密性(Confidentiality):情報を外部に見せない、漏らさない
②完全性(Integrity) :改ざんや過不足のない正確な情報が保持されている状態
③可用性(Availability) :情報をいつでも使える状態
この3要素は英語の頭文字をとって「CIA」とも呼ばれます。
このCIAを保持することが情報セキュリティを守ることに繋がります。
「業務データの中でアクセス制限があるような情報は?」
「記載内容に誤りがあった場合影響が大きいものは?」
「業務中に1時間利用できなくなったら困るものは?」
難しい内容なので上記のような観点で考えてみるといいかもしれませんね。
3.「5.2 方針」要求事項と概要
⑴要求事項
ISMS(ISO27001)5.2の要求事項は以下の通りです。
トップマネジメントは、次の事項を満たす情報セキュリティ方針を確立しなければならない。
a)組織の目的に対して適切である。
b)情報セキュリティ目的(6.2参照)を含むか、又は情報セキュリティ目的の設定のための枠組みを示す。
c)情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
d)ISMSの継続的改善へのコミットメントを含む。情報セキュリティ方針は、次に示す事項を満たさなければならない。
e)文書化した情報として利用可能である。
f)組織内に伝達する。
g)必要に応じて、利害関係者が入手可能である。
⑵「5.2 方針」で求められていること
「企業や組織にとっての情報セキュリティに関する基本的な考え方」を”文書として”確立し(文書化要求)、
社内の人も社外の人も閲覧できるようしておくことが求められています。
もちろん、ただなんとなく作成するのではなく、ISMSの規格要求に沿った内容で作成する必要があります。
4.情報セキュリティ方針作成3つのポイント
⑴基準となる文章の用意
すでにセキュリティポリシー等、企業独自で作成しているものがある場合、それがISMS(ISO27001)の規格要求に合致しているかどうか、加筆修正程度で良いでしょう。
何もない状態から作成する場合は、
①情報セキュリティ方針の概要
②規格要求事項に対しての自社の対応
の構成でシンプルにまとめるのが良いと思います。
⑵目的が適切か確認する
ISMSの規格要求事項に囚われて、自社の経営理念等と乖離が見られることがないよう、
経営理念等と絡めながら作成すると良いでしょう。
また、自社の業務概要や業務内容に関わる情報資産を明記するのもおすすめです。
業務内容や経営理念に沿って作成することで、情報セキュリティ方針の位置づけや狙いが明確になります。
⑶要求事項が入っているか確認する
以下の観点から、要求事項を満たしているかどうか確認してみましょう。
a)組織の目的に対して適切である。
→【⑵目的が適切かの確認】で記載した通りです。
自社の経営理念等と乖離がないか確認しましょう。
b)情報セキュリティ目的(6.2参照)を含むか、又は情報セキュリティ目的の設定のための枠組みを示す。
→ここでいう情報セキュリティ「目的」は「目標」と同じ意味になります。
例えば「セキュリティ インシデント0件」が目標であれば、
”セキュリティ インシデントを防ぐ”といった文言を方針に盛り込みましょう。
c)情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
→自社の業務内容や特徴、あるいは課題を入れましょう。
d)ISMSの継続的改善へのコミットメントを含む。
→ISMSに関する取り組みを定期的に見直す旨を記載しましょう。
e)文書化した情報として利用可能である。
→文書として提出できる状態にしてください。
f)組織内に伝達する。
→従業員が閲覧できるようにしましょう。
g)必要に応じて、利害関係者が入手可能である。
→利害関係者が閲覧できるようにしましょう。
5.情報セキュリティ方針を作成後、「組織内に伝達する」はどうする?
従業員がいつでも閲覧できるような場所に掲示し、掲示場所についても周知しましょう。
・社内ポータル等に掲示する
・事務所内に掲示する
・HPに掲載し、周知する
6.「利害関係者が入手可能」とは?
以下のように、利害関係者(顧客、株主、委託先、金融機関、従業員 等)
が情報セキュリティ方針を確認したい際に確認できるような措置が講じられていれば良いです。
・HPに掲載する
・事務所の受付台に設置する
・必要に応じてメールで送付する
まとめ
情報セキュリティ方針は「企業や組織にとっての情報セキュリティに関する基本的な考え方」のことでISMS(ISO27001)でも作成が義務付けられています。
ISMSで求められている7つの必須項目は入れて作成しましょう。
また、作成後は社内の人も社外の人も閲覧できるようにしておきましょう。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ