情報セキュリティ目標では、以下の条件を満たすことが求められています。
関連記事:
情報セキュリティ方針と整合している
情報セキュリティ方針は、ISMSにおける最上位の文書になります。そのため、目標も、最上位方針である「情報セキュリティ方針」と矛盾がない内容にする必要があります。
とはいっても、情報セキュリティ方針は抽象的な内容しか書かれていません。そのため、情報セキュリティに関連する目標を作れば、その目標は自動的に情報セキュリティ方針と矛盾がない内容になることが多いです。
できれば測定可能にする
例えば「情報セキュリティに気をつける」という目標では、達成したかどうかを判断できません。そのため、目標は、可能な限り測定可能であることが求められています。
セキュリティに関する要求事項(法令やお客様の声、社内ルールなど)や、リスクアセスメント・リスク対応の結果を考慮する
法令や社内ルール、お客様の声、リスクアセスメント・対応の結果を考慮することが求められています。 例えば、特定のお客様から情報の取り扱い方法について強い指示があった場合、「A社から提示されたセキュリティ遵守事項を遵守し指示への違反を0件にする」などの目標を立てることができます。
ただし、「考慮すること」となっているので、必ずしもこういった内容を目標に含める必要はありません。目標を考えるための1つのヒントとして考慮すれば問題ないでしょう。
ISMSの新規構築時は、リスクアセスメント・対応はまだ行っていない取り組みのため、一旦は無視しても構いません。
組織内に周知する
定めた目標は、その部署内で働く従業員に周知する必要があります。目標を把握していない従業員がいないようにしましょう。毎週や毎月のミーティングにおいて、メンバー内で目標を再確認したり、達成状況を共有する取り組みも効果的です。
適切なタイミングで更新する
目標には期限を設定し、適切なタイミングで更新する必要があります。具体的な期限の決め方については、目標の「期限」はいつに設定すべきかも参照してください。