「ISMS規格をわかりやすく解読する」シリーズの10回目は、「A.5 情報セキュリティのための方針群」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

A.5.1情報セキュリティのための経営陣の方向性

この管理策の目的は、情報セキュリティを実現するための、経営陣の方向性や支持を提示することです。

5.1.1では、情報セキュリティのための方針群を定義し、管理層が承認し、発行し、従業員や外部関係者に通知しなければならないと書かれています。「情報セキュリティのための方針群」とは、規格5.2 方針の「情報セキュリティ方針」と対応しています。さらに、管理層の承認を得た方針群は、従業員や外部の関係者に通知する必要があります。

5.1.2では、定めた方針が適切であるかどうかを、予め定められた間隔でレビューしなければならないと書かれています。また、組織環境や業務環境、技術環境の変化など、業務に関してなにか重大な変化が起こった時も、レビューを行う必要があります。このレビューにより方針が改定された場合は、管理層から承認を得るほうが望ましいです。