前回の記事で、情報セキュリティ方針の『情報セキュリティの目的』を効果的に定める方法について言及しました。
今回は、その次のフェーズとして、『要求事項を満たすことへのコミットメント』について考えてみましょう。
コミットメントとは?
コミットメントとは、宣誓や宣言、約束などを意味する言葉です。
つまり、情報セキュリティ方針においては、会社として何らかの約束事、何らかの宣言を行うことが求められるということです。
そのコミットメントは大きく分けて、4つに分類されます。
第一に、ISO/IEC27001:2013の規格要求事項に適合している旨のコミットメント。
第二に、事業において求められている事項へのコミットメント。
第三に、情報セキュリティに関する法令や各種ガイドラインを順守することへのコミットメント。
そして最後に、お客さまなど、ステークホルダーとの契約事項をしっかりと順守することへのコミットメント。
では、それぞれについて詳しく見て行きましょう。
ISMS要求事項へのコミットメント
一つ目のコミットメントでは、会社の情報セキュリティマネジメントシステムが、ISO/IEC27001:2013の規格要求事項に適合していることを宣言します。
ISMSの認証取得をした企業として、外部に向けて、どのような規格に適合した会社なのかを公表します。
ただし、単に「適合しています」とのみ宣言しても伝わりにくいかもしれません。
情報セキュリティの仕組みを確立し、実施し、維持し、継続的に改善しているなど、社外の人にとってもイメージしやすい表現を使うとよいでしょう。
事業における要求事項へのコミットメント
二つ目のコミットメントは、自社の事業について、事業上、要求されていることの順守を宣言します。
会社の行っている事業によって様々ですが、その事業が社会において貢献している点や、そのために必要とされる事項、そしてそれを順守していく旨を記載します。
例えば、運送業を営んでいる会社であれば、安全に正確に物品をお届けするなど、事業を行う上で、自分たちが期待されている事項、自分たちが提供するサービスの付加価値などに基づいて記載しましょう。
法令やガイドライン順守へのコミットメント
三つ目のコミットメントでは、情報セキュリティに関連する法令や、各業界のガイドラインを順守する旨を宣言します。
例えば、金融業界においては、FISC(金融情報システムセンター)という財団法人が提示している各種のガイドラインが有名です。法的な拘束力などは持っていませんが、金融業に関連する会社では、FISC基準への適合を求められるケースが多くあります。
ISO27001という規格だけでなく、その業界によっては守らなければいけない法令、ガイドラインに対し、それらを順守するというスタンスを記載しましょう。
契約事項順守へのコミットメント
最後のコミットメントでは、契約上の義務などを順守する旨を宣言します。
業務を遂行していく上で取り交わされる各種の契約事項が該当しますが、お客様との契約内容を具体的に書くことはできませんので、ステークホルダーとの契約事項を順守する旨を記載しましょう。
上記の四つについて、分かりやすいコミットメントを行い、社内にも社外にも、その宣言を浸透させていくことが、効果的な情報セキュリティ体制の構築にもつながっていくのではないでしょうか。