箇条7では,ISMSの活動におけるPDCAサイクルのすべての局面に関する要求事項が定められており,「7.1 資源」,「7.2 力量」,「7.3 認識」,「7.4 コミュニケーション」,「7.5 文書化した情報」の5項目で構成されています。
この記事では,「7.4 コミュニケーション」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「7.4 コミュニケーション」では,ISMSを運用するために必要となる報告,連絡,相談など,組織内外の利害関係者とコミュニケーションを取るためのプロセスを確立することが要求されています。
規格要求事項
7.4 コミュニケーション
組織は,次の事項を含め,ISMSに関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。
ISO/IEC 27000:2013(JIS Q 27001:2014)
a) コミュニケーションの内容(何を伝達するか。)
b) コミュニケーションの実施時期
c) コミュニケーションの対象者
d) コミュニケーションの実施者
e) コミュニケーションの実施プロセス
いわゆる「報連相」のことですね!
一口に「報連相」と言っても,コミュニケーションの目的と手段を定めておかないと,適切な意思疎通が図れないので注意が必要なんだ。
コミュニケーションの必要性
ISMSを構築して,その後の運用,維持および改善を行うには,組織内外の利害関係者とのコミュニケーションを通じて,期待や要求事項などをISMSに取り入れる必要があるほか,情報セキュリティに関する最新情報や新しい技術やサービスに関する情報,組織内外で発生する情報セキュリティ事件・事故(インシデント)に関する情報など,様々な場面で情報の取得や伝達,共有を行う必要があるため,事前にコミュニケーションの内容,時期,対象者,手段等について次の事項を含むプロセスを定めておくことが求められます。
- 何を伝達するのか【7.4 a)】
- いつ伝達するのか【7.4 b)】
- 誰に伝達するのか【7.4 c)】
- 誰が伝達するのか【7.4 d)】
- どのような手段で伝達するのか【7.4 e)】
構築・運用のポイント
ISMSの構築・運用において,組織の状況の理解,リスクアセスメント,リスク対応,マネジメントレビューなど,様々な場面でコミュニケーションを図る必要があります。特に,顧客からの苦情や情報セキュリティインシデントなど,迅速に対応する必要があるものについては,あらかじめ手順を定めて関係者に周知し徹底することが重要です。
コミュニケーションの相手
コミュニケーションには,組織内部とのコミュニケーションと,組織外部とのコミュニケーションのようなコミュニケーションの対象のほか,定期的に行われるコミュニケーションだけでなく,情報セキュリティインシデント発生時に求められる迅速なコミュニケーションなど,時間的なコミュニケーションがあります。
組織内部とのコミュニケーション
組織内部とのコミュニケーションを図る場面としては,経営会議や情報セキュリティ委員会のような会議体による双方向のコミュニケーションが挙げられるほか,ルールや各種のお知らせなどの周知で利用するポータルサイトや掲示板といった一方向のコミュニケーションがあります。
また,情報セキュリティインシデントの発生に備え,迅速にトップマネジメントまで報告が行われるように,緊急連絡網や報告窓口を整備し,報告することの重要性と義務であることを組織内の要員に周知徹底する必要があります。
組織外部とのコミュニケーション
組織外部とのコミュニケーションを図る場面としては,利害関係者からの情報セキュリティ要求事項の連絡や対策の要請に対する調整のほか,業界団体や加盟団体が定めるガイドラインへの対応,情報セキュリティインシデント発生時の相談先や行政機関とのコミュニケーションが挙げられます。これらのコミュニケーションの相手を特定して一覧化しておくとよいでしょう。
また,組織外部への情報発信や情報共有の手段として,ホームページやSNSなどの利用も検討しましょう。