• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001(ISMS):2013年度規格改訂5.2項「方針」規格解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001(ISMS):2013年度規格改訂5.2項「方針」規格解釈

_shared_img_thumb_OOK99_facebookiine20131223_TP_V

日頃よりご愛読ありがとうございます。ISO総合研究所コンサルタントの田牧靖央と申します。

弊社ではISOやPマーク(プライバシーマーク)の取得・維持に関わるサポート、コンサルタントを実施させて頂いており、今回は、ISOの中でも近年取得される企業・団体様が増加傾向にある「ISO27001:2013(ISMS) 」中でも規格項番5.2「方針」について、解説させて頂きます。よろしくお願いいたします。

さて、話は変わりますが、私事ではございますが、この春から長男が小学校1年生となり、つい先日入学式に参列させて頂きました。息子の通う小学校は1学年200名を超え、8学級からなるマンモス校で、入学式での新入生の点呼(?)には長時間を要しました。大人の私でも退屈だったこの時間、この前まで年長さんだった子どもたちは本当に頑張りました。

で、小学校に入ることで生活環境も大きく変わり、今の我が家の最も大きな関心事は、「習い事をどうするか?」です。

私は高校まで野球を続け、大学では体育学部に所属し、スポーツ大好き!!長男と休日にキャッチボールをやるなんて最高!!と思い、グローブやバットを購入したものの、本人は全く興味なし。最近は、近所のお兄ちゃんが教えてくれた、ポケカ(ポケットモンスターカード?)に夢中です。ポケカには様々戦略もあれば、HPの増減などで足算・引算・掛算・割算などの要素もあり、非常に頭を使うモノのようです。私は、少し寂しいものの、遊びの中で学びもあり、これもまた良いのではないかと思っているのです。

が、この状況に不満なのは我が家のご主人様(妻)です。「男たるものスポーツに夢中になり、できるものならスポーツで飯を食えるように!!」とのお考えです。

ただ、好きでもないモノを強制的にやらせて、続くのか?うまくなるのか?はたまた、逆にスポーツが嫌いになるようなことはないのか?悩ましいところです。ただ、子供のこととは言っても、やはりある部分では親が道筋をつけてあげることも必要であると考え、子供の育て方(習い事を中心に)絶賛家庭内協議・検討中です。

そうです、今回上記のような話をさせて頂いたのは、身近なところにも「方針」があるということ。「方針」がその後の活動に大きく影響するということ。また、「ISO27001:2013(ISMS))であっても、情報セキュリティというくくりではなく、捉えることでなじみやすく、わかりやすくなるのではないかと思い記載させて頂きました。

さて、メインテーマの「ISO27001(ISMS):2013年度規格改訂5.2項「方針」規格解釈について、まずは規格の内容について改めて確認してみましょう。

ISO27001(ISMS):2013年度規格改訂5.2項「方針」の内容

5.2 方針

トップマネジメントは,次の事項を満たす情報セキュリティ方針を確立しなければならない。

a) 組織の目的に対して適切である。
b) 情報セキュリティ目的(2 参照)を含むか,又は情報セキュリティ目的の設定のための枠組みを示す。
c) 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
d) ISO27001(ISMS)の継続的改善へのコミットメントを含む。

情報セキュリティ方針は,次に示す事項を満たさなければならない。

e) 文書化した情報として利用可能である。
f) 組織内に伝達する。
g) 必要に応じて,利害関係者が入手可能である。

5.2項において、情報セキュリティ方針たるものを打ち出すことを規格は求めています。では、どのような内容である必要があるのか?それが、a)~g)に記載されていますので、もう少し言葉を噛み砕きながら確認していきましょう。

a) 組織の目的に対して適切である。
⇒企業・団体の経営理念や将来的なビジョン、またこれらに基づいた事業の目的に対して適切であること。

b) 情報セキュリティ目的(2 参照)を含むか,又は情報セキュリティ目的の設定のための枠組みを示す。
⇒なぜこの企業・団体がISO27001(ISMS)の各種活動に取り組むのか、目的の設定の指針となる内容が望まれています。

c) 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
⇒企業・団体の情報セキュリティマネジメントシステム(ISMS)をISO/IEC27001:2013の規格が要求している内容に合わせているか、また、企業・団体の事業上の要求事項(法令、ガイドライン、顧客・取引先要求など)を順守することを宣言することを求めています。

d) ISO27001(ISMS)の継続的改善へのコミットメントを含む。
⇒ISO27001(ISMS)を継続していくなかで、内部監査やマネージメントレビューまたは内部外部からの要求に対して、継続的に改善することを宣言することを求めています。

まとめ

はい、いかがでしょうか。ご理解頂けたでしょうか。

まとめますと、企業・団体のもともとの目的を中心に、なぜISO27001(ISMS)の各種活動を行うのか?明確にし、法令その他要求事項を守り、継続的に改善していくことを宣言するのが求められているということです。

私は非常にしっくりきているのですが・・・

難しく考えることはありません。どの企業・団体様には大抵活動の目的や理念が掲げられているかと思います。これに2つの宣言事項を組み込めば、何も特別頭を悩ます必要はありません。本当に、今のISO27001(ISMS)は企業・団体の主たる活動に則した運用が可能なので、身構えることなんて何にもありません。

それでもご心配は絶えないかと思いますので、そんな時は・・・お気軽にISO総合研究所までご連絡いただければと思います。

今後ともよろしくお願いいたします。

カテゴリー:ISOコラム タグ:ISO コンサルタント 新規取得(新規認証) 規格改訂
関連記事

【ISO総研】
メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ