従来のセキュリティ対策は、大事な情報もそれにアクセスする人も、同じく社内に存在するという前提のもとで行われていました。しかし、ここ数年でクラウドサービスの利用やテレワークが増加したことにより、情報資産はクラウド上にも端末上にも存在するようになり、社内だけセキュリティ対策を強化していればいいという状況ではなくなってきました。
企業が一度でも情報に関する事故や事件を起こしてしまうと、多額の損失や賠償責任を負うことになるだけではなく、社会的な信用も失ってしまいます。そうなれば、経営自体が危うくなる可能性も否定できません。そこで重要となるのが、情報セキュリティ方針です。
今回は、あらゆるリスクから会社を守るために欠かせない情報セキュリティ方針について、ISMS(ISO27001)の取得を目指す方に向けて、より詳しくご紹介したいと思います。
ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
目次
情報セキュリティ方針とは?
情報セキュリティ方針とは、その名の通り企業や組織が実施している情報セキュリティ対策の方針となります。日々、セキュリティ対策に取り組むなかで、何か判断に迷うことがあった場合には、この情報セキュリティ方針に基づいて、その後の行動を決めていくことになります。
ISMS(ISO27001)の要求事項においては、情報セキュリティ方針と情報セキュリティ目的の策定が求められています。情報セキュリティ方針は、簡単に言えば企業の方向性を示したもので、情報セキュリティ目的は、情報セキュリティ方針を実行するために達成しておくべき目標です。どちらも企業の情報セキュリティ体制を高めるために存在し、整合が求められます。
ISMS(ISO27001)ではトップマネジメントによる確立が求められる
情報セキュリティ方針は、ISMS(ISO27001)に取り組む際に最上位の方針となります。そのため、トップマネジメントによる確立が求められています。
ISMS(ISO27001)の取得審査で行われるトップマネジメントへのインタビューでは、情報セキュリティ方針と情報セキュリティ目的の内容を把握し、理解しているかどうかを聞かれる可能性もあります。
たとえインタビューで聞かれなかったとしても、トップマネジメントが積極的に情報セキュリティ対策に取り組んでいるという姿勢を発信することは、従業員からの支持も得やすくなるので、トップマネジメントはすべてを担当者に丸投げにするのではなく、情報セキュリティについてしっかりと把握しておくべきでしょう。
情報セキュリティ方針に求められる項目は?
では、実際に情報セキュリティ方針に求められるのは、どのような項目か?
細かい部分は企業によって異なりますが、以下の項目については必ず抑えておきましょう。
- 情報セキュリティ目的との整合性
- ISMS(ISO27001)の継続的な改善
- 情報セキュリティに関する要求事項の遵守
情報セキュリティ目的との整合性
企業がISMS(情報セキュリティマネジメントシステム)に取り組む理由やその目的、必要性、重要性について明確にし、情報セキュリティ方針の達成を目指します。この方針は文書化され、顧客や社会に対してコミットメントを示すものであり、宣言された情報セキュリティ体制の構築が不可欠です。
ISMSに基づく効果的なマネジメントシステムを構築するには、情報セキュリティ目的を測定可能に設定し、適切な評価を行うことが重要です。これにより、改善策を計画し、PDCAサイクルを活用して体制を強化できます。ただし、目的のすべてが必ずしも測定可能である必要はなく、実行可能な場合には最低限の評価(例:0か1か)で十分です。また、測定が難しい場合でも、規定を遵守していれば問題ありません。
さらに、必ずしも改善を目的とする必要はなく、金融機関のように監督官庁のガイドラインを遵守し、高いセキュリティレベルを維持することが目的でも適切です。
情報セキュリティの指標としては、以下の3つの要素が重要です:
- 機密性:情報を外部や権限のない者に公開しないこと
- 完全性:データや情報が正確で完全であること
- 可用性:必要なときに情報へアクセスできること
これらを基に情報資産を管理し、高リスクな要件への対応を目標として掲げることも適切なアプローチです。
ISMS(ISO27001)の継続的な改善
ISMSの継続的な改善とは、監査や見直し会議で報告された内容をもとに、改善策を実行し、情報セキュリティへの取り組みを向上または維持していくことを約束するものです。
企業ごとに表現は異なりますが、以下のような一文で改善への姿勢を示すことができます。
「本方針が適切に遵守されていることを確認するため、情報セキュリティマネジメントシステムの運用状況を定期的に評価し、継続的な改善に努めます。」
情報セキュリティに関する要求事項の遵守
情報セキュリティに関連する要求事項を満たすという約束は、自社の情報セキュリティマネジメントシステムがISO/IEC27001:2013の規格に適合していることを公式に宣言することを意味します。
ISMS認証を取得した企業として、外部に向けて具体的にどの規格に準拠しているのかを公表する必要があります。ただし、「適合しています」とだけ表明するのでは伝わりにくいため、以下のような具体的な表現が適切です。
例えば、情報セキュリティ関連の法律やガイドライン、契約上の義務を遵守していることや、情報セキュリティの仕組みを構築し、それを実施・維持し、継続的に改善していることなど、外部の人にも分かりやすい形で説明するとよいでしょう。
ただ、これらを考慮しながら1から方針を作成するのは、ISMS(ISO27001)に関する基礎知識があったとしても、簡単ではありません。そのような場合には、あらかじめ用意されたひな形を活用することで、大幅な工数カットも可能です。ひな形の活用が審査に影響を及ぼすことはないので、特に強いこだわりがなければ、ひな形をそのまま利用するのも選択肢のひとつと言えます。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
