ISO27001 規格 の情報セキュリティマネジメントシステム を構築するためには、最初にやるべきことがあります。適用範囲の決定、情報セキュリティ方針 の確立、そして、 情報セキュリティ目的 の決定です。

この中でも情報セキュリティ方針と情報セキュリティ目的は、マネジメントシステムの継続的改善を行う上で非常に重要な役割を果たすものでありますが、「どのように決定すれば良いかわからない」と考えている方も多いのではないでしょうか?

ということで今回は、情報セキュリティ方針及び情報セキュリティ目的はどのようなもので、具体的にどのように決定すれば良いのかということについて解説していきたいと思います。

情報セキュリティ方針とは

情報セキュリティ方針とは情報セキュリティマネジメントシステムの中で全ての土台となる方針のことです。JIS Q 27001によれば、情報セキュリティ方針は以下のような項目を考慮した上で決定される必要があるとされています。

  • a) 組織の目的に対して適切である。
  • b) 情報セキュリティ目的(6.2参照)を含むか,又は情報セキュリティ目的の設定のための枠組みを示す。
  • c) 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
  • d) ISMSの継続的改善へのコミットメントを含む。

JIS Q 27001

情報セキュリティ方針は、組織の状況や組織が扱う商材、組織の規模などによってどのようなものが望ましいかは異なりますが、以下では一例までに情報セキュリティ方針の例を掲げましょう。

世界につながる人財と先進の情報技術を組み合わせた独自のサービスを創造し、お客さまからすべてをまかせていただけるグローバルサービスカンパニーになる

IT環境からファシリティまでトータルオフィスソリューションを営む会社として、情報セキュリティ保護の重要性を強く認識し、会社の情報資産をあらゆる脅威 から保護し、適切な安全管理をする

この他にも、情報セキュリティ方針は企業がホームページ上で公開していることが多いため、調査して参考にすると良いかもしれません。ただ、自社にはどのような情報セキュリティ方針が良いのかということは、組織の置かれている内外の状況や経営方針と照らし合わせた上で決定するようにしましょう。

情報セキュリティ目的とは

情報セキュリティ目的とは、情報セキュリティ方針と整合性が取れた計測可能な具体的目標のことです。

JIS Q 27001では、以下のようなことを考慮して情報セキュリティ目的を決定する必要があるとされています。

  • a) 情報セキュリティ方針と整合している。
  • b) (実行可能な場合)測定可能である。
  • c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
  • d) 伝達する。
  • e) 必要に応じて,更新する。

JIS Q 27001

情報セキュリティ目的は、情報セキュリティ方針を実行するために組織が具体的に達成すべき目標です。また、可能な限り測定が可能なものが望ましいとされています。――可能な限りというのは、「測定ができないものも情報セキュリティ目的に含めても良い」というだけであって、測定可能なものを測定しないということは規格の要求事項を無視することになってしまうため、注意が必要です。

情報セキュリティ方針と情報セキュリティ目的の関係について

前述の通り、情報セキュリティ目的は情報セキュリティ方針と整合性が取れている必要があります。――これはどういうことかというと、情報セキュリティ方針が情報セキュリティ目的の達成によって実行されるものである必要があるということです。

情報セキュリティ目的は、情報セキュリティ計画を遂行することで達成されるものである必要がありますが、つまり情報セキュリティ計画を実行し、情報セキュリティ目的を達成することは、情報セキュリティ方針の達成にもつながるものである必要があるのです。

わかりやすい例では、会社の売上目標と営業マン個人に割り当てられた営業目標との関係です。営業マンが個人の目標を達成することによって、会社の売上目標の達成に近づきます。情報セキュリティ方針と情報セキュリティ目的は、このような相互関係にあるのです。

まとめ

今回は、情報セキュリティ目的と情報セキュリティ方針について解説してきました。これら2つの概念は情報セキュリティマネジメントシステムにおいて非常に重要な役割を果たすものです。トップマネジメントは、これら2つの決定によって組織がどのように動くのかということを意識して慎重に決定するようにしましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。