「ISMS規格をわかりやすく解読する」シリーズの6回目は、「7.計画」について見ていきたいと思います。
※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。
7.1支援
ここでは、ISMSを確立し、実施し、維持し、改善していくために必要な資源を決定して、提供する必要が有ることが記載されています。ここで「資源」とは、例えば、資本や人員、技術、時間、システムなどのことです。
7.2力量
この節では、ISMSに携わる人々が、ISMSに関して、どんな知識を持っている必要があるかを定め、本当に担当者がその知識を有しているかを確認しなければなりません。
より具体的には、主に、5.3組織の役割、責任及び権限などで定めたISMSに関係する役割を有する人が、どの程度の力量を持つ必要があるかを予め定義します。次に、彼らが今まで受けてきた教育や訓練、経験などから、本当にその力量を持っているのかどうかを確認します。もしここで力量が不足していると判断された場合は、配置転換や追加教育など、何らかの処置を講じる必要があります。
7.3認識
ここでは、組織の管理下で働く人々、すなわち社員や従業員は、情報セキュリティ方針をしっかり認識し、それが実現できたら、どれだけ便益を得ることが出来るのか、逆に実現できなければどうなってしまうのかといった事柄を認識しておく必要があります。逆に言えば、ISMSの管理に携わる人々は、社員や従業員に対して、このような認識を植え付ける教育をしなければならないということです。
7.4コミュニケーション
ISMSを実行するためには、内外部での様々なコミュニケーションを取る必要が有ります。そのコミュニケーションについて、いつ、誰が、何を。どのように行うのかを、定めておく必要があります。例えば、セキュリティ事故が起こった時に、誰にどのような内容を報告するのか、などといった事を決めていきます。
7.5文章化した情報
7.5.1一般
ここでは、ISMSで必要な文章(情報セキュリティ方針や適用宣言書など)の管理方法を規定しています。さらに、規格で要求されていない文章でも、ISMSの運用のために、組織が独自に必要だと決定したものに関しても、ここで定める規定を守る必要があります。
7.5.2作成及び更新
文章を作成したり、更新したりするときには、いくつか守らなければならないルールが有ります。1つめが、タイトルや参照番号などを利用して、文章を適切に識別、認識できるようにすること。2つめが、文章によって適切な形式や媒体は異なるため、上手に選択すること。3つめは、文章を作成、改定するときに、それが本当に適切で妥当なのか、他人からレビューを受けて承認される必要があるということです。
7.5.3文章化した情報の管理
これらの文章を管理する際にも、守るべき事柄がいくつかあります。1つめは、必要なときに、必要場場所で入手、利用できること。2つめは、それらの文章が適切に保護されている(流出、改ざんがない)必要があるということです。