情報セキュリティの人的・組織的対策② 情報セキュリティ方針

ここでは組織構成、役割分担を想定した上で、人的・組織的対策として必要となる管理策に関して、ISO/IEC27001に基づいた解説をしていきます。

情報セキュリティ方針

情報セキュリティの方針を明確化するとともにそれが妥当であるか、具体的に実施されているかのレビューを受ける体制を確立することが、組織的な対策として必要になります。

情報セキュリティのための方針群

情報セキュリティのための方針群

情報セキュリティのための方針群のレビュー

情報セキュリティのための方針群は、あらかじめ定めた間隔で、または重大な変化が生じた場合に、それが引き続き適切、妥当かつ有効であることを確実にするためにレビューしなければならない

情報セキュリティのレビュー

情報セキュリティの独立したレビュー

情報セキュリティ及びその実施管理（例えば、情報セキュリティのための管理目的、管理策、方針、プロセス、手順)に対する組織の取り組みについて、あらかじめ定めた間隔で、または重大な変化が生じた場合に、独立したレビユーを実施しなければならない

情報セキュリティのための方針群及び標準の順守

管理者は、自分の責任の範囲内における情報処理及び手順が、適切な情報セキュリティのための方針群、標準類、及び他のすべてのセキュリティ要求事項を順守していることを定期的にレビューしなければならない

技術的順守のレビュー

方針群とは、情報セキュリティポリシーや情報セキュリティ方針から始まります。

情報セキュリティ方針は外部に向けて、自組織の情報セキュリティに対する取り組み方を宣言するものです。

ホームページなどに掲載し外部に対する宣言が行なわれます。

情報セキュリティポリシーは自組織内に向けての情報セキュリティに対する方針を宣言するもので、より具体的な方針を自組織に向けて宣言するものです。

組織を構成するすべてのメンバーから常に閲覧可能になっている必要があります。

情報セキュリティポリシーに続き、より具体的な情報セキュリティの管理策を盛り込んだ規定類や契約、社員就業規則、入退室管理規定、情報システム利用・運用規定、委託先との基本契約などの整備も必要になります。

これがいわゆる標準（スタンダード）といわれるものです。

これらを実際の業務遂行の中で行なうための手順書チェックシートなどの整備、これらが実際に実施されているのか、また有効なのかを検証するための記録、証跡の手順も盛り込む必要があります。

これらの方針が適切に運用されているか、妥当かどうかを定期的にレビューすることが要求されます。

レビューは、内部組織あるいは外部の組織によって定期的に、あるいは重大なインシデント発生に対応して行なわれ、方針に反映されることが必要です。

PDCAを確実に回すことが要求されています。