1.組織のセキュリティに関する基本原則

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅰ.情報セキュリティ管理責任者の職務」の

「1.組織のセキュリティに関する基本原則」について紹介します。

情報セキュリティマニュアル全体の構成については、以下をご参照ください。

情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ
認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。

Ⅰ.情報セキュリティ管理責任者の職務

1.組織のセキュリティに関する基本原則

1.1 情報セキュリティ委員会

(1)情報セキュリティ委員会の委員長は、社長とする。

(2)委員会のメンバーは、情報セキュリティ管理責任者、情報システム室の長、管理部長とする。委員長は、都度必要な者を委員会の臨時メンバーとして招集することができる。

(3)委員長は、情報セキュリティ委員会を1年に1度以上開催する。取締役会やマネジメントレビューに合わせ開催してもよい。この他に、委員長が諮問の必要を認めた時に適宜開催する。

(4)情報セキュリティ委員会の実施事項は、必要に応じ取締役会、マネジメントレビューに報告する。

(5)情報セキュリティ委員長及び委員会の役割と責任は次のとおりとする。

  • 情報セキュリティ委員会の招集・開催
  • 取締役会への上程についての審議・決定
  • 取締役会での決定事項の推進
  • 情報セキュリティ事故に対するオペレーションの審議・決定・進捗管理
  • 情報セキュリティマネジメント推進上の各種施策の立案・審議・決定・進捗管理
  • 組織間にまたがる情報セキュリティ関連事項の調整
  • 情報セキュリティに関する文書の立案・審議・決定
  • 各業務領域間の情報交換
  • その他、関連付帯事項の審議・決定

1.2 情報セキュリティ管理責任者の役割と責任

1.2.1 情報セキュリティ基本方針の見直し及び評価

(1)情報セキュリティ管理責任者は、基本方針の内容を定期的に(最低年1度)見直さなければならない。また、必要に応じ、全社基本方針に対して影響を及ぼす変化があった場合には、基本方針を見直さなければならない。

(2)情報セキュリティ管理責任者は、全社基本方針が確実に展開されていることについて、次の項目を考慮しつつ日常業務の一部として、また、「QMS内部監査」や経営会議等を通して監視する。

情報セキュリティに関するルールに対する違反行為は未遂であっても、その事象を管理する。
情報セキュリティ活動が期待どおりであるかを経営者が判断できるようにする。
情報セキュリティ事故を解決するための処置においては、次の観点から対応を決定する。
被害の極小化
再発防止
投資対効果
実効性

(3)情報セキュリティ管理責任者は、基本方針の有効性の見直しを行わなければならない。見直しの際は、次の事項について審議を行い、全社基本方針の有効性を確認し、必要に応じ、対応策等の処置を協議する。

見直しの際の審議事項
内部監査の結果
情報セキュリティ事故の結果
「経営会議」等に報告された情報セキュリティに関する事項

1.2.2 情報セキュリティ管理責任者の役割と責任の概要

情報セキュリティ管理責任者の役割と責任は、情報セキュリティにおける次の事項とする。

(方針・計画)
全社基本方針の策定及び定期的なレビュー
全社の情報セキュリティに関わる目的及び計画の策定
全社の情報セキュリティマネジメントの適用範囲の策定
(周知)
全社に関わる次の事項の組織内への周知
・全社基本方針
・コンプライアンスの重要性
・継続的改善の必要性
・全社の情報セキュリティ目標とその重要性
(体制)
全社の情報セキュリティマネジメント体制の構築
(リスクマネジメント)
リスク対策の立案、及び対策後の有効性の確認
受容リスクに対するモニタリング方法の立案
「品質マネジメントシステム内部監査」報告に基づく改善の指示
(リソース配分)
全社の情報セキュリティマネジメントに必要な経営資源の確保・配分
(マネジメントレビュー)
経営層による定期的なレビューの実施

1.3 情報セキュリティマネジメントのレビュー

(1)情報セキュリティ管理責任者は、当社の情報セキュリティに関する規程類が遵守され、効果的に実行及び維持されていることを確認するために、内部監査を実施することができる。内部監査は、品質マニュアルに定める内部監査と合わせて実施してもよい。

(2)情報セキュリティ管理責任者の業務に対する内部監査は、監査担当部門が実施する。

(3)情報セキュリティ管理責任者の業務以外に対する内部監査は、情報セキュリティ管理責任者が指定する者がその担当者となり実施する。

(4)内部監査の担当者は、監査対象の組織以外から選出する。

まとめ

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅰ.情報セキュリティ管理責任者の職務」の

「1.組織のセキュリティに関する基本原則」について、以下の内容を説明しました。

  • 情報セキュリティ委員会
  • 情報セキュリティ管理責任者の役割と責任
  • 情報セキュリティマネジメントのレビュー
はかせ

ISOについて学ぶきっかけは、知り合いの社長さんからISOについて相談されたことでした。
品質マネジメントを知るほどに、チーム運営やプロジェクトにも使える意外に良い仕組みであることを再認識しています。

はかせをフォローする
情報セキュリティマニュアル
スポンサーリンク
スポンサーリンク
はかせをフォローする
ビジョンで回す博士の品質マネジメント
タイトルとURLをコピーしました