箇条7では,ISMSの活動におけるPDCAサイクルのすべての局面に関する要求事項が定められており,「7.1 資源」,「7.2 力量」,「7.3 認識」,「7.4 コミュニケーション」,「7.5 文書化した情報」の5項目で構成されています。
この記事では,「7.1 資源」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「7.1 資源」では,ISMSの確立,実施,維持および継続的改善のために必要となる資源を決定し,ISMS適用範囲内の関係者に,それらの資源を提供することが要求されています。
規格要求事項
7.1 資源
組織は,ISMSの確立,実施,維持及び継続的改善に必要な資源を決定し,提供しなければならない。
ISO/IEC 27000:2013(JIS Q 27001:2014)
ISMSのPDCAプロセスの各局面において,どのような資源が必要になるんですか?
いわゆる「人」,「物」,「金」,「情報」が必要とされているんだけど,それだけでは抽象的でよくわからないので,具体的な内容を解説していこう。
ISMSに必要な資源の決定および提供
ISMSに必要な資源は,必要となった時に利用可能となっていることが望ましいとされています。「6.2 情報セキュリティ目的及びそれを達成するための計画策定」において計画を策定する際に,必要となる資源を見積り,確保しておく必要があります。
構築・運用のポイント
ISMSの確立,実施,維持および継続的改善のために必要となる資源について,具体例を挙げながらポイントを解説していきます。
トップマネジメントの積極的関与
ISMS推進に必要な人的・物的資源のほか,ISMSの各種活動にかかる資金などの経営資源の決定や提供は,担当者の権限で決められるものではありません。トップマネジメントが積極的に深く関与し,トップマネジメント自らがISMSの必要性を理解し,そのために必要な資源の決定と提供を行うことが求められます。
人的資源
ISMSの構築・運用に携わる事務局の要員をはじめ,ISMSを推進する体制の確立などの人的資源が必要となるほか,必要に応じて専門家やコンサルタントなどの外部の人的資源が必要となる場合があります。
物的資源
組織が活動するための拠点や施設のほか,情報を処理するためのサーバーやネットワーク機器,ファイヤーウォールなどのIT設備・機器,施設や高セキュリティエリアに入退館するための入退管理のシステムや装置,コミュニケーション手段としてのパソコンやスマートフォンなどが必要となります。
資金・予算
人的・物的資源を確保するための予算のほか,ISMSの認証取得・維持にかかる費用,組織または適用範囲内の要員への教育・訓練にかかる費用などが必要となります。これらの費用については,計画的に予算を確保しなければ,ISMSが形骸化してしまうおそれがあるので注意が必要です。
情報
「7.5 文書化した情報」の要求事項に基づいて文書化された規程文書やマニュアルなどの情報のほか,国や地方自治体、IPA等の公共機関から発信される情報セキュリティに関する各種の情報を収集し,組織のISMSに有用となる情報が必要となります。