No.232 ISO情報セキュリティマネジメントシステム その3
ITコラム
2017年11月13日
ISO 飛鳥 石橋一史によるITコラム
~帝国ニュースに掲載されたものを紹介していきます~
今週から、[附属書A]の各項目を読み解こう。まずは、箇条5の方針について、“ISMSに取り組む場合には方針が必要である。この方針は、管理層が承認し、発行して、従事者及び関連する外部関係者に通知する”、“管理層が承認し”とあるので、部門責任者のレベルで、具体的な方針を定めると理解すると良い。例えば[〜を紛失しない・〜の誤発送を抑える・〜のデータを誤って壊さない]など、部門ごとに業務に沿って具体的な目標的方針を定めてはどうだろうか…。
さらに、あらかじめ定められた間隔または、重大な変化が発生した場合には方針が適切かつ有効であるかどうかを見直さなければならない”とある。具体的な目標であつことから、内的要因として、達成度が習熟した時点、重要書類の紛失事故発生、担当者を含めた組織変更、外的要因としては、ネット上での新種ウィールスの出現、IT関連の社会的な情勢変化、他の同種組織で発生した情報関連事故など、新たなリスク事象として見直す必要があるのだろう。
これらの具体的方針(目標・戦略)に沿って、外部不特定者の出入管理の徹底、関係者の認識度を高める教育訓練、保管場所の明確化、ファイリングの工夫など、具体的な管理策(戦術)に入るという流れになる。そして、それらの管理策を維持していくために必要なら、管理記録・あるべき姿の写真などを録っていくと良い。
