【ISO】ISMSにおける目的ってどうすればいいの?


いつもご愛読ありがとうございます。
ISO総研の野瀬です。

先日、ISMSの新規ご取得をお手伝いさせていただいているお客様から、
ISMSの目的って何を策定すればいいの?というお声を頂きました。
セキュリティに関連することなので、イメージが湧きづらいですよね。
規格では以下のことを要求しています。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
6.2 情報セキュリティ目的及びそれを達成するための計画策定
組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。
情報セキュリティ目的は,次の事項を満たさなければならない。
a) 情報セキュリティ方針と整合している。
b) (実行可能な場合)測定可能である。
c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
d) 伝達する。
e) 必要に応じて,更新する。
組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。
組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,
次の事項を決定しなければならない。
f) 実施事項
g) 必要な資源
h) 責任者
i) 達成期限
j) 結果の評価方法
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
以上の項目が含まれている必要があるのですが、
ある企業様では、セキュリティインシデント0件や情報漏洩による顧客クレーム0件などを目的に掲げていらっしゃいました。
どういった目的にするかお悩みの場合、ぜひ当社まで。


メールアドレス