JIS Q 27001:2014の管理策について－２

今回は、「5.　情報セキュリティのための方針群」の管理目的と管理策からです。

【今回の要点】
・外部との取引等で会社の機密情報等の重要な情報を取り扱う場合、情報セキュリティ方針を定め公開することで取引の信頼を高めることができる
・情報セキュリティ方針を定めた場合、定期的又は変化に対応して見直しを行う

「情報セキュリティ管理基準」 は「 5.情報セキュリティのための方針群 」ですが、JIS　Q　27001:2014では、付属書Aと本文の項番を区別するため「A.5　情報セキュリティのための方針群」となっています。

なお、規格であるJIS　Q　27001:2014はJISのデーターベース検索にて閲覧可能です。

https://www.jisc.go.jp/app/jis/general/GnrDataBaseSearch.html

では、管理目的と管理策からスタートします。

5　情報セキュリティのための方針群
5.1 情報セキュリティのための経営陣の方向性
目的：情報セキュリティのための経営陣の方向性及び支持を、事業上の要求事項並びに関連する法令及 び規制に従って提示するため。

ここでは、管理目的が示されています。
ご家庭、個人事業主の方は経営陣＝ご自分と解釈してください。
情報セキュリティのための方向性を法令等の決まりに従って提示することが目的です。

5.1.1 情報セキュリティのための方針群は、これを定義し、管理層が承認し、発行し、従業員及び 関連する外部関係者に通知する。

情報セキュリティ方針を定め、承認し、内部および外部に通知します。
ISMS認証取得した企業のWebサイトでは「情報セキュリティ基本方針」「情報セキュリティポリシー」等が公開されています。
　個人情報を取り扱う企業、個人事業主の方のWebサイトでは 「プライバシーポリシー」「個人情報保護基本方針」等をみかけますが、外部との取引で個人情報以外の重要な情報を取り扱う場合は 「情報セキュリティ方針」を策定し、外部に示すことで取引先からの信頼を高めることができると考えます。（ その場合、「プライバシーポリシー」「個人情報保護基本方針」 は方針群の中の個別方針とします。）

5.1.2 情報セキュリティのための方針群は、あらかじめ定めた間隔で、又は重大な変化が発生した場合に、それが引き続き適切、妥当かつ有効であることを確実にするためにレビューする。

せっかく情報セキュリティ方針を定めても、環境の変化、新たな脅威の発生、関連法令の変化等により陳腐化する恐れがあります。
定期的又は重大な変化が発生したときは見直しを実施する必要があります。
Webサイトに情報セキュリティ方針を公開している場合は、策定年月日や改訂履歴などを外部に公開することで取引先からの信頼を高めることができると考えます。

【今回のまとめ】
・外部との取引等で会社の機密情報等の重要な情報を取り扱う場合、情報セキュリティ方針を定め公開することで取引の信頼を高めることができる
・情報セキュリティ方針を定めた場合、定期的又は変化に対応して見直しを行う

次回は、「６　情報セキュリティのための組織」の予定です。