箇条4では,組織を取り巻く情報セキュリティの状況や利害関係者のニーズ・期待を理解したうえで,ISMSを組織のどの範囲に適用するかを定めるよう要求しています。
この記事では,「4.2 利害関係者のニーズ及び期待の理解」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「4.2 利害関係者のニーズ及び期待の理解」では,組織のISMSに関する利害関係者と,その利害関係者が要求する情報セキュリティに関する要求事項を明確化することが求められています。
規格要求事項
4.2 利害関係者のニーズ及び期待の理解
組織は,次の事項を決定しなければならない。
a)ISMSに関する利害関係者
b)その利害関係者の,情報セキュリティに関連する要求事項注記 利害関係者の要求事項には,法的及び規制の要求事項並びに契約上の義務を含めてもよい。
ISO/IEC 27001:2013(JIS Q 27001:2014)
“利害関係者”って,顧客のことですか?
利害関係者とは,規格では,「ある決定事項若しくは活動に影響を与え得るか,その影響を受け得るか,又はその影響を受けると認識している,個人又は組織(JIS Q 27000:2014 2.41)」と定義していて,顧客以外にも該当する人や組織があるんだ。
利害関係者
利害関係者として,取引先の顧客,事業に必要なサービスを提供する供給者,組織の構成要員や従業員,組織の情報セキュリティの取り組みに期待している者や影響を受ける者などを,広い視点で洗い出す必要があります。
利害関係者には,外部の利害関係者のほか,内部の利害関係者も含まれます。また,法規制や契約上の義務は,ISMSの利害関係者の要求事項に含まれます。
利害関係者のニーズ及び期待
利害関係者のニーズや期待は,「4.3 情報セキュリティマネジメントシステムの適用範囲の決定」のインプットになるので,しっかりと把握しておく必要があります。
利害関係者のニーズや期待には,次のようなものがあります。
- 顧客(個人)…個人情報やクレジットカード情報,購入履歴などを安全に管理してほしい
- 顧客(法人)…営業情報や技術情報が流出しないように,情報管理を徹底してほしい
- 親会社…情報漏えいなどの事故によって,企業グループのブランドイメージを低下させないでほしい
- 株主…サイバー攻撃やデータ改ざんによる信用失墜によって,株価や企業価値を低下させないでほしい
- 従業員…情報セキュリティ事故の発生によって,会社業績や雇用に悪影響が及ばないようにしてほしい
- サプライヤー…受発注,納品,請求,支払いなどの情報処理プロセスに誤りがないようにしてほしい
- 国,地方自治体…情報管理の取組みをしっかりと行い,法令や規範を遵守した企業活動をしてほしい
構築・運用のポイント
「4.2 利害関係者のニーズ及び期待の理解」では,文書化は要求されていませんが,資料にまとめおくとよいでしょう。特に法令上や契約上の義務として要求されていることは,これに反すると重大な違法行為や契約違反となるので,利害関係者の特定に漏れがないようにするとともに利害関係者からの要求事項を明確にしておきましょう。
また,利害関係者のニーズ及び期待は「6.1 リスク及び機会に対処する活動」におけるISMSの計画を策定する際のインプットにもなるので,利害関係者のニーズや期待をしっかり把握しておくことが有効なISMSを構築・運用するうえで重要となります。