情報セキュリティ方針は非常に抽象的です。そのため、各従業員がISMSのために何を取り組むべきなのか、理解することが難しいです。ここでは、情報セキュリティ方針から、もう1つブレークダウンした概念である「情報セキュリティ目標」を考えてみましょう。
この記事では、以下のトピックについて説明しています。
(Pマーク用のマニュアルはこちらをご覧ください)
JIS Q 27001 対応箇所
本文 6.2
「目標」と「目的」
規格(JIS Q 27001)の6.2には、「情報セキュリティ目的」と記載されていますが、目的という言葉はわかりにくいので、「情報セキュリティ目標」と読み替えることが多くあります。ちなみに、JIS Q 27001の元となっている英語の規格 ISO/IEC 27001では objectives
という単語が利用されています。
「目標」の考え方
普段の業務でも、各部署やチームごとに「目標」を定め、その目標を達成するための活動を行うことがあるでしょう。ISMSにおいても、各部門ごとに「目標」を定め、それを達成するための取り組みを行う必要があります。
目標についてのより詳細な情報は、以下の記事を確認してください。
目標を定め、取り組み、振り返る
目標を定める
まずは、各部門ごとに目標を決定する必要があります。目標の決定においては、以下の記事が参考になります。
TIPS:目標はいくつ定めても構いませんが、各部門ごとに1〜3つ程度定めるのが一般的です。機能上、一つの目標を複数の部門でシェアすることはできませんので、部門ごとに作成ください。
目標に取り組む
目標を定めたあとは、達成に向けて取り組みを行う必要があります。できれば毎月、目標の達成に向けた取組状況を振り返りましょう。この取組を「監視・測定」といいます。監視・測定の詳細については、以下の記事を確認して下さい。
目標を振り返る
目標の期限になった場合、その目標が達成できたかどうかを振り返る必要があります。結果を入力して目標を完了させましょう。
目標に関するよくある質問
目標を1年ごとに見直していますが、毎年同じ目標でも良いですか?
問題ありません。ただし、目標が変化していない場合、情報セキュリティレベルが変化していない可能性も考えられます。ISMSの取り組みは、日々情報セキュリティレベルを上げていくための取り組みですので、よりレベルアップした目標を定めることも検討してみてください。
「構築ガイドNo.10:情報セキュリティ目標をつくる」の設定完了条件
完了条件:全部門・1つ以上の目標設定を完了する
- 適用範囲に登録されている「部門」の全てに1つ以上の目標を設定してください
- 目標を設定後、構築ガイドの一覧上で同項番がグレーアウトしていれば設定完了です。