このシリーズでは、ISMSの土台となる規格JIS Q 27001をじっくりとご紹介しています。
これまでに弊社ブログ内でもざっくりとした規格解説などはあげてきたのですが、正直、規格は細かく紹介しようと思えばいくらでも深めることができます。ということで、一度じっくり見てみようというものです。
今回は、【5.2 方針】をじっくり読み砕いていきましょう。
概要
簡単にまとめると「情報セキュリティに対する組織の考え方・方向性を示しましょう」です。
まずこの項目では、方針はトップマネジメントが確立しましょうということが記載されています。
その上で、情報セキュリティ方針は以下の項目を満たしている必要があります。
- 組織の目的に適切であること
- 情報セキュリティの目的または目的を設定するための大枠を示すこと
- ISMSの継続的改善への誓約を含むこと
また、作成した情報セキュリティ方針は以下の状態にあることが求められています。
- 文書化した情報として利用可能なこと
- 組織内に伝達されていること
- 必要に応じて、利害関係者が入手できるようにしてあること
次項では、上記の項目についてもう少し詳細に見てみましょう。
情報セキュリティ方針作成で満たす必要のある事
組織の目的に適切であること
この項目は、前回ご紹介した「5.1 リーダーシップ及びコミットメント」の中の、組織の方向性と整合性のとれた方針を作りましょうという話とつながる部分になります。
(参考:5.1 リーダーシップ及びコミットメント【JIS Q 27001】)
したがって、例えば、組織の方針として個人情報の取扱いを重視しているのであれば、個人情報に対する情報セキュリティのための方針になるでしょうし、情報セキュリティに取り組んでいるという信頼性付与の為であれば、そういった文言の方針を作ることになるでしょう。
いずれにせよ、組織の方向性や目指すものと相反する方針を立ててまで、ISMSを運用することは適切とは言えませんし、ISMSは組織の方向性に合わせて形を変えられるものです。
情報セキュリティの目的または目的を設定するための大枠を示すこと
ここでは、取り組みによって何を達成するのかという目的を方針に含めるか、目的を立てるための大枠を定めておきましょうということです。
ただ、基本的には、ここで目的を定めてしまうよりは、さらに詳細な目的を立てるための大枠の設定にとどめることが多いです。
目的設定のための大枠といってもイメージが湧きにくいかもしれませんが、少し具体的に考えてみると、例えば、「情報資産の機密性・完全性・可用性を維持します」というISMSの目的を自社の方針に含めた場合、その大枠に基づいて機密性や完全性、可用性の維持のために取り組むことはすべて取り組みの目的に設定することが可能になります。
例えば、「情報セキュリティのルールを明文化する」「従業者の教育リテラシーを向上させる」などが考えられます。
このように、難しく考えず、自分たちがISMSの取り組みによって大まかにはこのようなことを達成したいということを定めるくらいの認識で問題ありません。
ISMSの継続的改善への誓約を含むこと
一見難しく見えますが、簡単に言うと方針の中に「ISMSを確立して、実施、継続的な見直しを行うことで改善し続けます」という文言をいれて、継続的改善することを約束してくださいということです。
そもそもISMS自体が継続的に改善することを前提とした仕組みのため、誓約も自動的に行う必要があると考える方が自然でしょう。
情報セキュリティ方針が満たさなければならない状態
文書化した情報として利用可能なこと
これはシンプルにWordなどで文書化して、使えるものにしておきましょうということです。
文書化の形は、wordに限らず、社内wikiなどでも、組織にとって管理しやすい形であれば問題ありません。
組織内に伝達されていること
情報セキュリティ方針の存在をしっかりと従業者に伝えておきましょうということです。
方針はISMSの全ての取り組みの根本にもあたるため、従業者が把握しておくべきものであるという背景があります。
ISMSのマニュアルなどを展開したり、ルールを運用することには目が行くのですが、意外とこの方針を知らせておくということを忘れがちな組織も多いです。
どこにあるということを知らせるだけで済むことなので忘れず行うようにしましょう。
必要に応じて、利害関係者が入手できるようにしてあること
これは従業者に限らず、利害関係者も方針を確認できるようにしておきましょうということです。
ただ、作ったものを全利害関係者に送ってくださいという話ではなく、あくまで必要に応じてなので、求められたら提出できるようにPDF化して保存しておくといった方法でも問題ありません。
いちいち求められてから提出するという手間を省くためにも、自社のWebサイトに公開するという形を取る組織も非常に多く、もちろんこの形でも全く問題はありません。
まとめ
今回は、【5.2 方針】について解説してきました。
ここで決めた方針は、今後取り組むISMSの活動すべての根本に位置する考え方になります。
自分たちが何のためにISMSに取り組むのか明確にした上で、方針を定めましょう。