情報セキュリティ目的とは

情報セキュリティの観点から、特に軽減させたいリスクあるいは向上させていきたい取組みについて目標を掲げ達成するための仕組みです。

ISO27001(ISMS)と情報セキュリティ目的

ISO27001(ISMS)では情報セキュリティ目的は組織のトップが確立すること、情報セキュリティ方針に含むこと、もしくは情報セキュリティ目的の設定のための枠組みを示すことが要求されています。
また、設定する上では測定可能であること、要求事項やリスクアセスメントとリスク対応結果を入れることを含めて、組織内に伝達し、必要に応じて更新することとされています。
目的の内容には、実施事項はもちろん、必要なモノ・誰が・いつまでに・結果を入れ、最後にマネジメントレビューでの報告も忘れてはいけません。

情報セキュリティ目的の事例

情報セキュリティ目的の代表例として多いのは「インシデント0件」です。
情報セキュリティ目的が測定可能であることは一見数値管理に思えますが実際は数値でなくてもかまいません。とはいっても数値である方が組織に伝わりやすいこと、取り組みやすい点では数値設定がいいかもしれません。
その他の事例としては、売上高、離職率の低減、ヒューマンスキル全体の向上などもあります。

まとめ

情報セキュリティ目的はISO27001(ISMS)を運用する上で、組織の課題は何か、組織の伸ばすべきところは何か、今年またはこの時期には何をするべきかなど、組織がよりよくなるような活動を明確にして達成できる仕組みです。