ISMSの規格である「ISO/IEC 27001」では、管理策(セキュリティ対策)が記載されています。その項目を参考にしつつ、自社オリジナルの社内ルールを作成しましょう。
※約5年ごとに規格の改訂があるため、適宜ルールの見直しを行なっていただく必要があります。
この記事では、以下のトピックについて説明しています。
ルールの作り方
前述の通り、ISMSの規格では管理策が用意されており、それに従った社内ルールを作成する必要があります。しかし、ISMSに初めて取り組む方や、情報セキュリティに対してあまり知識のない方にとっては、どのようなルールを作成するべきか、見当がつかないことも多いでしょう。
そのような方でもかんたんにルールを作成できるように、各管理策ごとに「ルールの例」を用意しています。ルールの例をもとにした社内ルールの作り方については、「ルールの例」を活用して社内ルールを作るを参照してください。
なお、管理策の中には自組織の業務内容や組織文化に合わず、ルールの作成が難しい項目があることもあります。そのような場合は、適用除外を検討してください。適用除外の詳しい説明については「適用除外」とはを確認してください。
ルールを従業員に周知する
作成したルールは、従業員に対して周知する必要があります。具体的な周知の方法は、ルールを従業員に周知するを確認してください。
ルールを監視・測定する
「毎年、〜する」や「3ヶ月に1回、〜する」といった、定期的に実施するルールについては、監視・測定の項目に加えることで、もれなく実施を行うことができます。詳細についてはルールを「監視・測定」の項目に追加するを確認してください。