組織を運営していくためにビジョンや経営方針が必要なように、ISMSを構築・運用するためにも、その土台となる「情報セキュリティ方針」が必要です。
この記事では、以下のトピックについて説明します。
(Pマーク用のマニュアルはこちらをご覧ください)
JIS Q 27001 対応箇所
本文 5.2
方針の基本的な考え方
ISMSにおける「方針」の立ち位置をわかりやすくまとめたものが、以下の図になります。
図を見て分かる通り、ISMSに関する方針はピラミット構造になっています。方針の作成においては、上位の方針に矛盾がないように作成する必要があります。
この図に登場する3つの要素について、かんたんに説明します。
組織の方針
ISMSに関する方針を作成する前に、組織の方針を明確にする必要があります。一般的には「経営方針」や「ミッション」と呼ばれることもあります。
そもそもISMSという取り組みは、組織の活動である以上、組織が定める「経営方針」や「ミッション」を実現する手助けをするものですから、このあと作成する情報セキュリティ方針は、この「経営方針」や「ミッション」と矛盾がないように定める必要があります。
この項目は、組織によっては1行で終わる可能性がありますし、数十行に渡る可能性もあります。会社のWebページの経営理念・方針のページのコピー&ペーストで済むケースも多いでしょう。
情報セキュリティ方針
情報セキュリティに関する最上位の文書です。ISMS適用範囲に含まれる人は、この方針を理解し、遵守する必要があります。
具体的な作成の方法については、以下の記事をご確認ください。
情報セキュリティ目的(目標)
情報セキュリティ方針を実現するために、各部署で行うべき内容を定めます。詳しくは、「目標」の概要をご確認ください。
情報セキュリティ方針の公開
情報セキュリティ方針は、自組織の情報セキュリティの取り組みの方向性を定めたものですから、利害関係者のニーズと期待に答えるためにも、利害関係者が入手可能な状態にしておく必要が求められています。
方針を決定した後は、組織のWebページに掲載するなどし、社内外の利害関係者にセキュリティへの取り組みをアピールできるようにしましょう。
ヒント:SecureNavi株式会社では「情報セキュリティポリシー」として、Webページのフッターからアクセスできるようにしています。