• 情報セキュリティ方針は、自社の情報セキュリティにおける基本的な方向性を示したもの
  • ISMSを構築するうえで欠かせない指標となる

不正アクセスやサイバー攻撃などのさまざまな情報セキュリティにおける脅威が増している現代では、組織が保有する情報資産を守るための対策を取ることが求められています。

そこで、自社の取り組みをホームページ上に「情報セキュリティポリシー」と掲載している企業が多くあるのです。このように情報セキュリティ方針を策定し、社会に示していくことは経営活動を行ううえで欠かせない要素となっています。

この記事では、情報セキュリティ方針の概要や必要性、ISO27001 (ISMS )における情報セキュリティ方針の定義などを解説しています。情報セキュリティ対策に取り組もうと考えている企業の方は、ぜひ参考にしてください。

情報セキュリティ方針とは

情報セキュリティ方針とは、企業や組織が実施している情報セキュリティ対策の方針のことです。一般的に記載される内容とは、組織が保有する情報資産を保護するための基本的な考え方やルール、情報セキュリティを確立するための体制、運用規定、対策基準などが挙げられます。

企業の情報資産を不正利用、サイバー攻撃などのさまざまな情報セキュリティリスク情報から守るために作成します。また、情報セキュリティ方針を明示することにより、従業員の情報セキュリティへの意識の向上や取引先や顧客からの信頼獲得などのメリットが得られる可能性があります。

最近では、情報セキュリティポリシーをホームページ上に掲載している企業も多いため、参考にすることもおすすめです。しかし、情報セキュリティ方針は組織の状況によって異なるため、自社に適した情報セキュリティ方針にするためには、自社の状況や経営方針を照らし合わせて作成してください。

情報セキュリティ方針を設定する重要性

ITサービスが普及している現代では、情報の取り扱いにおける組織の責任は非常に重くなっているため、情報資産の保護は、業種を問わず求められている課題の一つです。

組織が一度でも情報に関する事故や事件を起こしてしまうと、多額な損失や賠償責任を背負うことになります。さらに、社会的な信頼も失い、経営活動の継続さえ難しい事態に追い込まれる可能性もあるのです。

そのため、リスクから会社を守る手段として、情報セキュリティ方針の設定が重要になっているのです。

情報セキュリティ目的との違い

情報セキュリティマネジメントシステム に関する国際規格 である ISO 27001の要求事項において、情報セキュリティ方針と 情報セキュリティ目的 を策定することが求められています。

ここで、両者の違いについて解説していきます。
情報セキュリティ方針が、情報セキュリティにおける企業の方向性を示したものである一方、情報セキュリティ目的は、情報セキュリティ方針を実行するために達成すべき目標です。

そのため、情報セキュリティ目的は、情報セキュリティ方針と整合していることが求められています。また、その目標は、可能な場合には測定可能で、具体的であることが必要です。
両者は異なるものではあるものの相互関係にあり、どちらも企業の情報セキュリティ体制を高めるために存在しています。

関連記事:ISO27001の情報セキュリティ目的・情報セキュリティ方針とは?

個人情報保護方針との違い

情報セキュリティ方針と混同しやすい言葉に、個人情報保護方針があります。両者の違いは、「対象範囲」です。
情報セキュリティ方針における対象範囲は、組織が保有するすべての情報資産(個人情報も含む)ですが、個人情報保護方針の対象範囲は、本人からの同意を得た個人情報に限定されます。

そのため、情報セキュリティ方針と個人情報保護方針のどちらも企業のホームページ上に公開されていることが一般的になっています。自社の立ち位置を明確にするため、どちらの方針も作成し、発信することがおすすめです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27001(ISMS)による情報セキュリティ方針の定義とは


情報セキュリティ方針は、企業が自社の状況と照らし合わせて作成することが必要です。ただし、より効果的な情報セキュリティ方針を策定するために、ISO27001(ISMS)では、情報セキュリティ方針は以下のように定義付けられています。

組織の目的に対して適切である

経営理念などの組織の目的と情報セキュリティ方針は、整合性がとれたものであることが必要です。
情報セキュリティ方針は、事業を促進するあるいは事業の阻害につながる事象の防止につながる内容であることが求められています。

また、組織の目的だけでなく、組織の課題や事業目的などにも整合させて作成しましょう。情報セキュリティ方針は、情報セキュリティマネジメントシステムを構築するうえで最初に取り組む土台になるため、自社の情報をしっかりと整理して作成してください。

情報セキュリティ目的を含んでいる

情報セキュリティ目的を含んでいるか、情報セキュリティ目的の設定のための枠組みを示すことが必要です。

前述しましたが、情報セキュリティ目的は情報セキュリティ方針と整合していなければなりません。そのため、情報セキュリティ方針において、情報セキュリティ目的について記載することで、整合性を高めることができます。

情報セキュリティに関する要求事項を満たす約束を示す

ISO27001(ISMS)では、情報セキュリティマネジメントシステムの構築・運用に関する要求事項が定められています。その要求事項を満たした状態を維持・向上させていくというコミットメントを示すことが必要です。主に、以下の観点が含まれているかを確認してみましょう。

  • ISMSの継続的改善へのコミットメントを含むこと
  • 文書化した情報が利用可能であること
  • 情報セキュリティ方針を組織内に伝達すること
  • 必要に応じて、利害関係者が入手可能であること

ISO27001取得を検討している企業は、これらの定義を満たす情報セキュリティ方針を立ててください。

ISO27001(ISMS)ではトップマネジメントによる確立が重要


ISO27001(ISMS)を取得するためには、要求事項に適合するISMSを構築・運用する必要があります。その中で、情報セキュリティ方針はトップマネジメントによって確立することが求められています。

“情報セキュリティ方針及び情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にすること”
※JISQ27001:2014、5.1リーダーシップ及びコミットメントより抜粋

わかりやすくすると、トップマネジメントがリーダーシップを発揮して、以下の3点を実施することが求められています。

  • 情報セキュリティ方針・情報セキュリティ目的を作成すること
  • 上記2つを会社として公表すること
  • 上記2つが会社の事業活動を促進するもの、もしくは阻害しないものであること

取得審査におけるトップマネジメントへのインタビューで、情報セキュリティ方針や情報セキュリティ目的の内容を理解・把握しているかが尋ねられる可能性もあります。
また、トップマネジメントが情報セキュリティ対策に取り組んでいく姿勢を積極的に発信していくことで、従業員などのステークホルダーからの支持も得られるでしょう。そういった意味でも、情報セキュリティ方針についてはきちんと把握しておきましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

まとめ

組織の情報セキュリティを高めていくためには、情報セキュリティ方針を決めることが欠かせません。内外問わず、自社の情報セキュリティに関する方針を示すことで、どのような責任を負い、どのような取り組みを実施するのかが明確になります。

組織の目的に適した情報セキュリティ方針を立て、自社の取り組みを社会に発信してください。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ