箇条7では,ISMSの活動におけるPDCAサイクルのすべての局面に関する要求事項が定められており,「7.1 資源」,「7.2 力量」,「7.3 認識」,「7.4 コミュニケーション」,「7.5 文書化した情報」の5項目で構成されています。
この記事では,「7.3 認識」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「7.3 認識」では,ISMS適用範囲内の要員が,情報セキュリティ方針,ISMSの有効性に対する自らの貢献のほか,ISMS要求事項に適合しないことの意味を理解し自覚することが要求されています。
規格要求事項
7.3 認識
組織の管理下で働く人々は,次の事項に関して認識をもたなければならない。
ISO/IEC 27001:2013(JIS Q 27001:2014)
a) 情報セキュリティ方針
b) 情報セキュリティパフォーマンスの向上によって得られる便益を含む,ISMSの有効性に対する自らの貢献
c) ISMS要求事項に適合しないことの意味
「7.2 力量」での教育・訓練との関係を教えてください。
「7.2 力量」の教育・訓練による知識やスキルの習得を通じて,ISMS適用範囲内の要員に情報セキュリティ方針や要求事項に適合しないことの意味を認識させる,もしくは,要員自身が自覚することを求めているんだよ。
認識の重要性
組織による一方的なルールの押し付けや,義務的な教育・訓練によって知識やスキルを習得させても,ルールが守られなかったり,セキュリティ対策が実践されないなど形骸化していきます。
組織の要員一人ひとりが,情報セキュリティ方針やISMS要求事項に適合しないことの意味を理解し,組織の文化として醸成を図ることが求められているのです。
構築・運用のポイント
ISMSの構築時や運用開始直後は,ルールが定着しなかったり,制約に対する反発が生じることがあります。
ISMSの導入によって新たに設けられたルールや制約の目的や意義やISMSの構築・運用によって情報セキュリティパフォーマンスが向上することで享受できるメリットを伝え,モチベーションを維持・向上させる施策を実施するなど,組織にISMSが浸透するまでは工夫が必要です。
また,自覚を促すために定期的なモニタリングを実施し,組織の情報セキュリティパフォーマンスが向上していることを可視化することも効果的です。