箇条4では,組織を取り巻く情報セキュリティの状況や利害関係者のニーズ・期待を理解したうえで,ISMSを組織のどの範囲に適用するかを定めるよう要求しています。
この記事では,「4.4 情報セキュリティマネジメントシステム」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「4.4 情報セキュリティマネジメントシステム」では,「4.3 情報セキュリティマネジメントシステムの適用範囲の決定」で決定した適用範囲を対象として、PDCAサイクルに基づくISMSの構築・運用を要求しています。
規格要求事項
4.4 情報セキュリティマネジメントシステム
組織は,この規格の要求事項に従って,ISMSを確立し,実施し,維持し,かつ,継続的に改善しなければならない。
ISO/IEC 27001:2013(JIS Q 27001:2014)
ミナライさん
“PDCAサイクル”って何ですか?
規格要求事項にあるISMSの確立,実施,維持,継続的改善のことで,Plan-Do-Check-Actのアプローチを用いた組織のプロセス管理のことだよ。
マスター
構築・運用のポイント
「4.4 情報セキュリティマネジメントシステム」は,ISMSをPDCAサイクルで運用することを求める形式的な規格要求事項です。
要求事項への具体的な対応としては,箇条6 計画をPlan,箇条7 支援/8 運用をDo,箇条9 パフォーマンス評価をCheck,箇条10 改善をActとして,それぞれのプロセスを実施する,PDCAサイクルに基づくISMSの構築・運用ということになります。