従来のセキュリティ対策は、大事な情報もそれにアクセスする人も、同じく社内に存在するという前提のもとで行われていました。しかし、ここ数年でクラウドサービスの利用やテレワークが増加したことにより、情報資産はクラウド上にも端末上にも存在するようになり、社内だけセキュリティ対策を強化していればいいという状況ではなくなってきました。
企業が一度でも情報に関する事故や事件を起こしてしまうと、多額の損失や賠償責任を負うことになるだけではなく、社会的な信用も失ってしまいます。そうなれば、経営自体が危うくなる可能性も否定できません。そこで重要となるのが、情報セキュリティ方針です。
今回は、あらゆるリスクから会社を守るために欠かせない情報セキュリティ方針について、ISMS(ISO27001)の取得を目指す方に向けて、より詳しくご紹介したいと思います。
ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
目次
情報セキュリティ方針とは?
情報セキュリティ方針とは、その名の通り企業や組織が実施している情報セキュリティ対策の方針となります。日々、セキュリティ対策に取り組むなかで、何か判断に迷うことがあった場合には、この情報セキュリティ方針に基づいて、その後の行動を決めていくことになります。
ISMS(ISO27001)の要求事項においては、情報セキュリティ方針と情報セキュリティ目的の策定が求められています。情報セキュリティ方針は、簡単に言えば企業の方向性を示したもので、情報セキュリティ目的は、情報セキュリティ方針を実行するために達成しておくべき目標です。どちらも企業の情報セキュリティ体制を高めるために存在し、整合が求められます。
ISMS(ISO27001)ではトップマネジメントによる確立が求められる
情報セキュリティ方針は、ISMS(ISO27001)に取り組む際に最上位の方針となります。そのため、トップマネジメントによる確立が求められています。
ISMS(ISO27001)の取得審査で行われるトップマネジメントへのインタビューでは、情報セキュリティ方針と情報セキュリティ目的の内容を把握し、理解しているかどうかを聞かれる可能性もあります。
たとえインタビューで聞かれなかったとしても、トップマネジメントが積極的に情報セキュリティ対策に取り組んでいるという姿勢を発信することは、従業員からの支持も得やすくなるので、トップマネジメントはすべてを担当者に丸投げにするのではなく、情報セキュリティについてしっかりと把握しておくべきでしょう。
情報セキュリティ方針に求められる項目は?
では、実際に情報セキュリティ方針に求められるのは、どのような項目か?
細かい部分は企業によって異なりますが、以下の項目については必ず抑えておきましょう。
- 情報セキュリティ目的との整合性
- ISMS(ISO27001)の継続的な改善
- 情報セキュリティに関する要求事項の遵守
ただ、これらを考慮しながら1から方針を作成するのは、ISMS(ISO27001)に関する基礎知識があったとしても、簡単ではありません。そのような場合には、あらかじめ用意されたひな形を活用することで、大幅な工数カットも可能です。ひな形の活用が審査に影響を及ぼすことはないので、特に強いこだわりがなければ、ひな形をそのまま利用するのも選択肢のひとつと言えます。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3000件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。