2022年11月9日
ISMSの目標とは、組織の状況に合わせて設定するものであり、目的を達成するために具体的なセキュリティ計画を立てることを指します。ISMSの目標に数値目標を入れることで、目標が組織内に伝わりやすくなりますが、必ずしも数値目標である必要はありません。
1.ISMS目標はどうやって決める?
ISMSの目標を立てるためにはまず、現状把握が必要です。
情報資産を洗い出し、リスクを評価します。
この情報セキュリティにおけるリスクアセスメントを行ったのちに、組織がどのような状況にあるかに応じて、目標を設定していきます。
ここでいう情報資産とは紙やデータ情報はもちろんですが、サーバーやパソコン、USBメモリなどといった物理的な媒体、ノウハウを持った人も情報資産に含まれます。
目標と聞くと、「現状より良い状態に向けてレベルアップしなければならない」というイメージがありますが、情報セキュリティの場合は必ずしもそうではありません。
情報セキュリティにおけるリスクとは、組織の情報資産に対して何かしらの危害が加えられることです。日々、情報資産へのリスクは変わるので、現状のセキュリティレベルを維持するという目標があっても問題ありません。
2.セキュリティ目標とは?
セキュリティ目標とは、情報セキュリティリスクアセスメントの結果から軽減させたいリスクや、現状より伸ばしていきたい取り組みについて目標を掲げ、それを達成するための計画のことを言います。
情報セキュリティの目標の計画には条件がいくつかあります。
・情報セキュリティ方針と適合していること
・実現可能な場合は測定可能であること
・リスクアセスメントやリスク対応の結果を考慮に入れること
・伝達すること
・必要に応じて更新すること
この条件を踏まえてセキュリティ目標を設定する必要があります。
3.「目的」と「目標」の違い
よくある質問で、目標と目的の違いがわからないといわれます。
目的とは、最終的に目指す理想の状態や実現したいゴールのことを意味します。
目標は目指すべきゴールに向けた計画のことを言います。
つまり、目指す理想のために具体的に何をしたらいいのかを設定したものが目標です。
目的を達成するための目標は必ずしも1つではありません。目標は、プロセスごとや部署ごとに設定しても良いので、複数存在することもあります。
4.セキュリティ目標の具体例
セキュリティ目標の具体例でよく耳にするものとして、「セキュリティインシデント0件」があります。
セキュリティインシデントとは、組織で保有している情報のセキュリティを脅かす事象のことを指します。メールの誤送信や紛失といったものも含まれます。
「セキュリティインシデント0件」という目標は、様々な部門共通の目標として設定しやすいです。
そのほか、部門ごとに目標を設定する場合もご紹介します。
お客様の情報を取り扱う部署
・お客様情報の取り扱いルール整備
システムやインフラの管理を行っている部署
・アクセス権限のレビュー
・PC監査の実施
・クラウドサービスの適切な評価
従業員情報を扱う部署
・入退社の際の個人情報取り扱い手順整備
財務・経理部門
・請求書ミス、振込ミス0件
・財務データのバックアップ、復旧手順の見直し
このように部署ごとに適切な目標を設定することにより組織全体でセキュリティの意識を上げることができます。
5.目標は定量じゃないとダメ?
セキュリティ目的の設定条件に、測定可能であることが挙げられています。
しかし、これは、実現可能な場合を指しているので、数値を入れた目標設定が難しい場合は、必ずしも数値を入れる必要はありません。
とはいっても、数値目標での設定の方が組織に伝わりやすくわかりやすいという点では、数値で判定できる目標設定が良いかもしれません。
6.セキュリティ目標は5W1Hが大切
目標を達成するためには、具体的な計画が必要になります。
先ほど例にあげた請求書ミス、振込ミス0件という目標を設定するのであれば、以下の項目を具体的にしておくことが必要です。具体的に内容が決まっていると普段の業務に取り入れやすくなります。
・何をするのか :ダブルチェック
・どのような資源が必要か :人
・責任者は誰か :経理部長
・完了の時期 :毎月〇日まで
・結果の評価方法 :ミスの有無
7.目標を決めたらPDCAサイクルを回すだけ
組織の状況に合わせて目標を決め、具体的な内容まで落とし込めたら実行し、取り組みの評価を行い改善していくのみです。
実行した内容がやりにくいと感じたり、効果がなかった場合は、次年度は変更をすると良いでしょう。
現状を維持する目標を次年度も設定することも可能です。
まとめ
情報セキュリティ目標は、組織の抱えるリスクを把握したり、より良い活動を続けていくうえで必要な活動を明確にして達成できる仕組みです。
組織の状況を踏まえた目標設定のその他の事例が必要であれば、専門的な知識を持っているコンサルティング会社への相談をしてみることが近道になるかもしれません。
ぜひお気軽にお問い合わせください。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ