• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」規格解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」規格解釈

OZPAyatta_TP_V

いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの小嶋と申します。

今回は…
「ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」というテーマで書かせていただきます!

またしても前回に続いて、規格解釈シリーズ!!

6.2項の要求事項

では、はじめに6.2項の要求事項には何が書かれているのでしょうか?

「組織は、関係する組織の機能や階層で、情報セキュリティ目的を定めなければならない。情報セキュリティ目的は、次の事を満たさなければならない。」

a) 情報セキュリティ方針と一致している
b) 測定可能である(但し、実行可能な場合)
c) 適用可能な情報セキュリティの要求事項、リスクアセスメント及びリスク対応の結果を考慮している
d) 適切に(必要に応じて)伝達する
e) 適切に(必要に応じて)更新する

組織は、情報セキュリティ目的を”文書化された情報”として保持しなければならない。
組織は、情報セキュリティ目的の達成方法を計画する際、次の事を決めなければならない。

f) 実施すべき事
g) 必要な資源
h) 責任者
i) 達成期限
j) 結果の評価方法

概略としては関連する部門及び階層において、情報セキュリティ目的を確立し、それらを達成するための計画を策定するという事です。

ポイント

要求事項のポイントとしては

① a)~e)を満たす情報セキュリティにおいて達成するための目的を定める。
② f)~j)を満たす情報セキュリティ目的を達成するための実施計画を策定する。
③ これらの情報セキュリティ目的及びその達成に向けての活動及びその結果は、文書化した情報を保持する。

その他のポイント

① 情報セキュリティ方針と整合した情報セキュリティ目的を決定していること。
② 目的は達成度の判定が可能なこと。
③ 目的は、情報セキュリティ要求事項、リスクアセスメント、リスク対応結果を考慮していること。
④ 関係者に伝達していること。
⑤ 事業環境の変化、組織形態の変更及び情報セキュリティインシデントの発生があった場合は、見直し、更新していること。
⑥ 目的を達成するための計画を策定していること。
⑦ 計画には次の事項を含めていること。
実施事項、必要資源、責任者、達成期限、結果の評価方法

ここでの項でまず「目的」という言葉の意味を考えましょう。

【目的(objective)】とは達成すべき結果。

注記 1 目的は、戦略的、戦術的又は運用的である。
注記 2 目的は、例えば、財務、安全衛生、環境の到達点(goal)のように様々な領域に関連し、様々な階層(戦略的レベル、組織全体、プロジェクト単位、製品単位、プロセス単位)で適用できる。
注記 3 目的は、例えば、意図する成果、Purpose、運用基準など、別の形で表現することもできる。同じような意味をもつ別の用語、例えば、狙い(aim)、到達点(goal)、目標(target)で表すこともできる。
注記 4  情報セキュリティマネジメントシステム(ISMS)の場合、組織は、特定の結果を達成するため、情報セキュリティ方針と整合のとれた情報セキュリティ目的を設定する。

という事です。
つまり、情報セキュリティの目的を達成する為に実施をする要項をまとめれば良いのです。

トップマネジメントのリーダシップの下、推進される計画です。組織の戦略に情報セキュリティを組み込み、方針展開させ、PDCAを完結する流れになります。

2章の「ISMSの目的がより鮮明に・・・②」の解説及び3章の「用語の解説3.08 目的」を参照し、リスクアプローチとの違いを理解してください。情報セキュリティの目的は何をしたら良いのかという疑問が出てくるかと思います。

例を出してみましょう。

例えば、セキュリティ事故が起きないことは大前提の目的であると位置づけ、それを達成するプロセスを、具体的なToDoに落とし込むことです。例えば「セキュリティインシデントを3件以下」「事故ゼロを達成する為に、当社のセキュリティ弱点の強化につながる教育を計画して、全社員に対して実施する」等という感じで目的を作成すると考えやすくなるでしょう。

その後その目的に対する

f) 実施すべき事
g) 必要な資源
h) 責任者
i) 達成期限
j) 結果の評価方法を盛り込んだような様式で管理をすることが望ましいでしょう。

最後に

弊社では、運用代行サービスを行っております。
あなたの会社の事務局として一緒に運用することができますので、さらにあなたの会社のISOにかかる時間が無くなります。

書類作成、年間スケジュール組み、規格改訂、ムダな規程類の削減・規程の見直し、内部監査をやらせていただきますので、それらにかかる時間が全てなくなります。その分の時間を売り上げのための時間に使って頂き、売り上げを伸ばしていただきたいです!!

僕らのミッションは、お客様のISOにかかる時間、工数を「0」に近づけていくということです。

話が長くなりました…
それでは、今回は「ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。
ありがとうございました。

  • ムダチェックリスト無料プレゼント
  • お役立ちツール無料プレゼント
カテゴリー:ISOコラム タグ:コンサルタント 規格改訂 規格解釈
関連記事

【ISO総研】
メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ