ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMSセキュリティ方針の作り方を3つのポイントに分けて解説

2022年11月4日

ISMSセキュリティ方針の作り方を3つのポイントに分けて解説

ISMSのセキュリティ方針は「企業や組織にとっての情報セキュリティに関する基本的な考え方」になります。
①基準となる文章の用意 ②目的が適切かの確認 ③要求事項が含まれているかの確認。
この3つの手順でISMSのセキュリティ方針を作成し、社内の人も社外の人も閲覧できるようにしておきましょう。

1.情報セキュリティ方針とは

ISMS(ISO27001)の情報セキュリティ方針とは、
①基本方針 ②対策基準 ③実施手順
で構成される企業や組織の方針(行動指針)です。

分かりやすく言うと
「企業や組織にとっての情報セキュリティに関する基本的な考え方」
を示したものが情報セキュリティ方針になります。

企業にとって情報セキュリティの基盤となるものなので、ISMSでも作成が義務付けられています。

2.情報セキュリティってそもそも何?

情報セキュリティには3つの要素があります。

①機密性(Confidentiality):情報を外部に見せない、漏らさない
②完全性(Integrity)   :改ざんや過不足のない正確な情報が保持されている状態
③可用性(Availability)  :情報をいつでも使える状態

この3要素は英語の頭文字をとって「CIA」とも呼ばれます。
このCIAを保持することが情報セキュリティを守ることに繋がります。

「業務データの中でアクセス制限があるような情報は?」
「記載内容に誤りがあった場合影響が大きいものは?」
「業務中に1時間利用できなくなったら困るものは?」

難しい内容なので上記のような観点で考えてみるといいかもしれませんね。

3.「5.2 方針」要求事項と概要

⑴要求事項

ISMS(ISO27001)5.2の要求事項は以下の通りです。

トップマネジメントは、次の事項を満たす情報セキュリティ方針を確立しなければならない。
a)組織の目的に対して適切である。
b)情報セキュリティ目的(6.2参照)を含むか、又は情報セキュリティ目的の設定のための枠組みを示す。
c)情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
d)ISMSの継続的改善へのコミットメントを含む。

情報セキュリティ方針は、次に示す事項を満たさなければならない。
e)文書化した情報として利用可能である。
f)組織内に伝達する。
g)必要に応じて、利害関係者が入手可能である。

⑵「5.2 方針」で求められていること

「企業や組織にとっての情報セキュリティに関する基本的な考え方」を”文書として”確立し(文書化要求)、
社内の人も社外の人も閲覧できるようしておくことが求められています。

もちろん、ただなんとなく作成するのではなく、ISMSの規格要求に沿った内容で作成する必要があります。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

4.情報セキュリティ方針作成3つのポイント

⑴基準となる文章の用意

すでにセキュリティポリシー等、企業独自で作成しているものがある場合、それがISMS(ISO27001)の規格要求に合致しているかどうか、加筆修正程度で良いでしょう。

何もない状態から作成する場合は、
①情報セキュリティ方針の概要
②規格要求事項に対しての自社の対応
の構成でシンプルにまとめるのが良いと思います。

⑵目的が適切か確認する

ISMSの規格要求事項に囚われて、自社の経営理念等と乖離が見られることがないよう、
経営理念等と絡めながら作成すると良いでしょう。
また、自社の業務概要や業務内容に関わる情報資産を明記するのもおすすめです。

業務内容や経営理念に沿って作成することで、情報セキュリティ方針の位置づけや狙いが明確になります。

⑶要求事項が入っているか確認する

以下の観点から、要求事項を満たしているかどうか確認してみましょう。

a)組織の目的に対して適切である。
→【⑵目的が適切かの確認】で記載した通りです。
自社の経営理念等と乖離がないか確認しましょう。

b)情報セキュリティ目的(6.2参照)を含むか、又は情報セキュリティ目的の設定のための枠組みを示す。
→ここでいう情報セキュリティ「目的」は「目標」と同じ意味になります。
例えば「セキュリティ インシデント0件」が目標であれば、
”セキュリティ インシデントを防ぐ”といった文言を方針に盛り込みましょう。

c)情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
→自社の業務内容や特徴、あるいは課題を入れましょう。

d)ISMSの継続的改善へのコミットメントを含む。
→ISMSに関する取り組みを定期的に見直す旨を記載しましょう。

e)文書化した情報として利用可能である。
→文書として提出できる状態にしてください。

f)組織内に伝達する。
→従業員が閲覧できるようにしましょう。

g)必要に応じて、利害関係者が入手可能である。
→利害関係者が閲覧できるようにしましょう。

5.情報セキュリティ方針を作成後、「組織内に伝達する」はどうする?

従業員がいつでも閲覧できるような場所に掲示し、掲示場所についても周知しましょう。

・社内ポータル等に掲示する
・事務所内に掲示する
・HPに掲載し、周知する

6.「利害関係者が入手可能」とは?

以下のように、利害関係者(顧客、株主、委託先、金融機関、従業員 等)
が情報セキュリティ方針を確認したい際に確認できるような措置が講じられていれば良いです。

・HPに掲載する
・事務所の受付台に設置する
・必要に応じてメールで送付する

まとめ

情報セキュリティ方針は「企業や組織にとっての情報セキュリティに関する基本的な考え方」のことでISMS(ISO27001)でも作成が義務付けられています。

ISMSで求められている7つの必須項目は入れて作成しましょう。
また、作成後は社内の人も社外の人も閲覧できるようにしておきましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。