【5.2 方針】トップマネジメントの魂を「情報セキュリティ方針」として文書化しよう!

箇条5では,トップマネジメントがその責任において実施すべき内容のほか、情報セキュリティに対する組織の方針の確立やISMSにおける組織内の要員の役割,責任,権限を明確にして要員に伝達することについて要求しています。

この記事では,「5.2 方針」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。

規格要求事項の解説

「5.2 方針」では,トップマネジメントが組織のISMSで取り組むべき活動の方向性や実施すべきことを「情報セキュリティ方針」として文書化し,組織内に周知するとともに,必要に応じて利害関係者が入手できるようにすることを求めています。

規格要求事項

5.2 方針

トップマネジメントは,次の事項を満たす情報セキュリティ方針を確立しなければならない。
a) 組織の目的に対して適切である。
b) 情報セキュリティ目的(6.2参照)を含むか,又は情報セキュリティ目的の設定のための枠組みを示す。
c) 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
d) ISMSの継続的改善へのコミットメントを含む。

情報セキュリティ方針は,次に示す事項を満たさなければならない。
e) 文書化した情報として利用可能である。
f) 組織内に伝達する。
g) 必要に応じて,利害関係者が入手可能である。

ISO/IEC 27001:2013(JIS Q 27001:2014)
ミナライさん

いわゆる基本方針ってやつですね?

情報セキュリティ方針は,その組織の情報セキュリティに対する方向性を,組織の内外に示す重要な文書だから,トップマネジメントが確立しなければならないんだよ。

マスター

情報セキュリティ方針の確立

トップマネジメントは,組織の情報セキュリティ目的(または,目的設定のための枠組み)のほか,要求事項を満たすことやISMSの継続的改善の実施について,情報セキュリティ方針を定め,文書として宣言や表明することが求められています。

組織の目的との整合(5.2 a)

情報セキュリティ方針は,組織の情報セキュリティに対する意志を宣言・表明するものであるため,組織の目的と整合している必要があります。

情報セキュリティ目的との整合(5.2 b)

情報セキュリティ方針は,「6.2 情報セキュリティ目的及びそれを達成するための計画策定」で定める情報セキュリティ目的を含むか,情報セキュリティ目的の達成のための計画を示すことが求められています。

要求事項を満たすことへのコミットメント(5.2 c)

トップマネジメントは,ISMSの構築・運用に自ら積極的に関与することのコミットメントを,情報セキュリティ方針で表明しなければなりません。トップマネジメントの積極的な関与は,組織の士気を高めるとともに,ISMSが意図した結果を達成するための近道となります。

継続的改善へのコミットメント(5.2 d)

トップマネジメントは,ISMSの継続的改善へのコミットメントを,情報セキュリティ方針に含めることが求められています。組織の目的と整合性のとれた,環境や脅威の変化に応じたISMSへ継続的に改善することについて,情報セキュリティ方針で表明しましょう

情報セキュリティ方針の表明

情報セキュリティ方針は文書化し,利用な可能な状態にするとともに,組織内に伝達し,利害関係者が入手可能であることが求められています。

利用可能な文書(5.2 e)

情報セキュリティ方針は,文書化して利用可能にすることが求められています。

組織内への伝達(5.2 f)

規格では,文書化した情報セキュリティ方針を「組織内に伝達する」ことを求めています。全従業員向けの教育の中で伝えるほか,印刷して組織の施設内に掲示したり組織内のイントラネットやポータルサイトに掲載するなどの方法で伝達します。

利害関係者への公開(5.2 g)

規格では,文書化した情報セキュリティ方針を「必要に応じて,利害関係者が入手可能である」ことを求めています。一般的には,組織が外部に公開しているホームページに掲載する方法が用いられます。

構築・運用のポイント

情報セキュリティ方針は,その組織のISMSの魂といっても過言ではありません。その組織の活動や事業の目的に沿って,どんなISMSにしたいのかなど,自分達の想いを込める重要な文書です。他組織の方針文書を参照して,どのような文書にすればよいか参考にすることは問題ありませんが,方針文書を丸ごとコピーすることはもってのほかです。

情報セキュリティ方針は,その組織の情報セキュリティへの取り組みについての基本的な考え方を組織の内外に宣言・表明する文書となるため,しっかりと魂を込めましょう。

情報セキュリティ方針の策定

規格は,情報セキュリティ方針が「文書化した情報として利用可能である」ものとして,文書化を要求しています。文書には,以下の項目を含む必要があります。

  • 組織の目的に統合されたISMSであることの宣言・表明
  • 組織の情報セキュリティ目的または情報セキュリティ目的の設定のための取り組みについての宣言・表明
  • 情報セキュリティ要求事項に適合することの宣言・表明
  • ISMSを継続的に改善することの宣言・表明

情報セキュリティ方針の策定事例

情報セキュリティ方針

株式会社○○(以下、当社)は,事業のすべての領域において,当社およびお客様からお預かりした情報資産を事故・災害・犯罪などの脅威から保護し,適切かつ安全に管理することが責務であると認識し,以下の情報セキュリティ方針に基づいて,組織を挙げて情報セキュリティ対策に取り組みます。

  1. 情報セキュリティを,情報の機密性,完全性および可用性を適切に維持することと定義し,当社のすべての領域において,情報資産を事故・犯罪・災害等の脅威から保護します。
  2. 当社の事業戦略及び事業目的と整合した情報セキュリティ目的を設定し,トップマネジメントはその目的の達成に向けて積極的に情報セキュリティ対策に取り組みます。
  3. 定期的にリスクアセスメント及び管理策の見直しを実施し,あらゆる脅威に対して適切な情報セキュリティ対策を実施します。
  4. 役員を含む当社のすべての従業員に対し,情報セキュリティに関する教育の受講を義務付け,以下の事項について遵守させます。
    • 法令,規制及び契約上の要求事項の遵守
    • 情報セキュリティ方針及び方針を支持する文書・手順の遵守
    • セキュリティ教育,訓練及び意識向上に関する要求事項の遵守
    • 情報セキュリティ方針群への違反に対する処置
  5. 情報セキュリティインシデント発生時は,速やかに関係者に報告し,影響を最小限にするとともに,是正処置及び再発防止に努めます。

XXXX年XX月XX日
株式会社○○
代表取締役 □□ □□

-5 リーダーシップ
-, , ,