こんにちは、saeです。
今回は、ISO/IEC 27001の要求事項の概要について解説します。
項目 1:適用範囲
最初の項目には、規格の適用範囲が示されています。
項目 2:引用規格
引用規格は、「ISO/ IEC 27000 情報技術 — セキュリティ技術 —
情報セキュリティマネジメントシステム — 概要及び用語」です。
項目 3:用語及び定義
ISO/IEC 27000 に記載されている用語及び定義を参照してください。
項目 4:組織の状況
ここから対策基準に記載される項目となります。
これは、組織の状況と ISMS への影響を確定する箇条です。
規格の多くの箇条が、この箇条に関連しています。
最初に、組織及び組織の情報又は第三者に委託された情報に関連する内部及び
外部の課題をすべて特定します。
次に、すべての「利害関係者」を特定し、同時にその利害関権者が情報に
どのように関連しているかを特定しなければなりません。
また、利害関係者の要求事項を特定しなければなりません。
ISMS の適用範囲を決定し、この適用範囲は、組織の戦略的な方向性、中心となる
目的及び利害関係者の要求事項と連携していなければなりません。
さらに、この規格に従って、ISMS を確立し、実施し、維持し、 継続的に改善する
必要があります。
項目 5:リーダーシップ
この項目では、「トップマネジメント」の役割について規定されています。
トップマネジメントは、ISMS 及び情報セキュリティ方針を確立し、それらが
組織の戦略的な方向性と両立することを確実にしなければなりません。
また、すべての利害関係者に対してこの方針を入手可能にし、伝達し、維持され
、理解されるようにしなければなりません。
トップマネジメントは、ISMS が継続的に改善されることを確実にし、指示と支援
を与えることを確実にしなければなりません。 トップマネジメントは、ISMS
に関連する責任及び権限を割り当てることができますが、最終的には
トップマネジメント自身が その責任を負います。
項目6:計画
この項目では、組織が情報に対するリスク及び機会に対処する
活動をどのように計画するかについて説明しています。
組織が情報セキュリティリスクにどのように対処するか、潜在的 影響との
釣り合いをどのようにとらなければならないかに焦点を当てて説明しています。
またその他の重要点として、この箇条では、情報セキュリティの目的を確立する必要性についても記載されており、情報セキュリ ティの目的が満たさなければならない事項も定義されています。
項目7:支援
この項目では、ISMS を確立し、実施し、維持し、継続的に改善 するために必要な資源、人々及びインフラストラクチャーを提供することについて記載されています。
ISMS を支援するための力量、認識及びコミュニケーションに 関する要求事項についても記載されています。例えば、必要な 力量の決定や、教育・訓練などがあります。
この項目では、組織の管理下で働くすべての人々が、情報セキュ リティ方針、情報セキュリティ方針の有効性に対する自らの貢献及び情報セキュリティ方針に適合しないことの意味を認識することが求められています。
また、組織は、情報セキュリティ及び ISMS に関連する内部及び 外部のコミュニケーションが適切に実施されることを確実にしなければなりません。これには、コミュニケーションの内容、対象者、 実施時期、方法が含まれます。
この項目では、「文書化した情報」という用語にも言及しています。 組織は、ISMS の管理に必要な文書化した情報のレベルを決定しなければなりません。
文書化した情報へのアクセス管理についても強調されています。
次回は、引き続き項目8の運用から説明します。
