ISO27001新米担当者の奮闘記　〜ISMS構築プロジェクトの進め方〜　第5回　情報セキュリティの基本方針を作るぞ!

ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
太田智明
浦名祐輔
http://rm.jmc.ne.jp/service/iso27001/27column05.html

＜ISO27001新米担当者のつぶやき＞

■いよいよISO27001取得に向けた本格的な活動が始まる

無事にコンサルタントの選定が終わり、いよいよISO27001取得に向けての作業に取り掛かります。

コンサルタントとの初めての打ち合わせでは、情報セキュリティの基本方針について話し合う予定です。打ち合わせまでに、自分なりに方針を作ってみたいと思います。

ISO27001の要求事項を見てみると、4.2.1のb)項に、「次の事項を満たす基本方針を策定する」と書いてあるので、要求事項に沿って考えてみたいと思います。

■まず初めは情報セキュリティの基本方針の策定

一つ目の要求事項には、下記のことが書かれていました。

(1)情報セキュリティに関する全般的な方向性と行動指針の確立

何のことだかさっぱりわかりません。この内容をそっくりそのまま方針に書けばよいのでしょうか。それとも、自社に合わせた方針を考え、作成していかないといけないのでしょうか。

ISO27001の規格を読むと、他に方針に含めないといけない内容が4つ残っているのですが、それらについても何を書くのかわかりません。

■他社の方針をコピーすればよいのでは？

やはりゼロから作るのは難しいのですね。では既にISMSを取得している会社の情報セキュリティの基本方針をいくつか見てみて、それらのよい部分をコピーして作成していけばいいのではないでしょうか。

＜ISO27001コンサルタントからのアドバイス＞

■他社のコピーでは不必要な方針や不足してしまう方針が出てしまう

認証取得をされた企業の情報セキュリティの基本方針をそのまま引用するというのは、著作権などの問題もあるのでいかがなものでしょうか。

コピーだけでは業務上必要のない方針や、不足してしまう方針が出てきてしまう恐れがあり、審査では作成した基本方針に対して、十分な取り組みが実施できていないと見なされる可能性があります。

それでは、どのように情報セキュリティの基本方針を策定すればよいのでしょうか。

■方針は社内外に情報セキュリティに対する考えを表明するためのもの

まず、情報セキュリティ基本方針を策定する目的は、会社として情報セキュリティに対する取り組みが重要であることを、社内（従業員、派遣社員など）、社外（取引先など）に表明し、従業員、派遣社員には情報セキュリティの意識を付け、具体的な行動ができるよう促し、取引先には安心してお仕事を任せていただくために作成することです。

■方針策定のための要求事項

そのために、要求事項に定められている5つの要求を満たした方針を作成することが求められています。それでは、規格で要求されている内容を掘り下げてみましょう。

(1)情報セキュリティに関する全般的な方向性と行動指針の確立

ここでは、「情報セキュリティが重要なもので、会社としてこのように取り組みます」という方向性や指針を示すことが要求されています。さらに、PDCAサイクル上で継続的に運用し、方向性、指針に近づくよう表明することが求められています。

よって、会社としてなぜISMSを構築するのかといった目的を明確にすることがポイントになります。

(2)法規制と契約へのセキュリティ義務

事業を進める中で、法規制や顧客との契約を遵守することを表明します。

(3)組織へのリスクマネジメント

情報セキュリティを経営上のリスクの一つとして認識し、経営戦略の施策の中に盛り込み、継続的に運営することを表明します。

(4)リスク評価のための基準の確立

ISMSでは、リスクアセスメントを実施し、リスクとして認識された対策（ルールの作成など）をしていきます。よって…

【執筆：太田智明、浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/iso27001/27column05.html