情報セキュリティの方針群
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/08/10 02:32 UTC 版)
「情報セキュリティマネジメントシステム」の記事における「情報セキュリティの方針群」の解説
ISMSを実施する組織は、組織の能力に影響を与える内部および外部の課題や、ISMSに関連する利害関係者の情報セキュリティに関する要求事項、他の組織との依存関係などを特定し、これらをもとにしてISMSの適応範囲の境界線や適応可能性を決定する。こうした作業を行ったあと、トップマネジメントは、資産の情報セキュリティを担保するため、経営陣や管理者からなる管理層の承認のもと、情報セキュリティのための方針群を定める。これらの方針群の中で最も高いレベルに1つの情報セキュリティ方針を定めねばならない。 情報セキュリティ方針は 情報セキュリティに関連する適用される要求事項 ISMSの継続的改善へのコミットメント が含まれねばならず、以下を含むことが望ましい 情報セキュリティに関する全ての活動の指針となる,情報セキュリティの定義,目的及び原則 情報セキュリティマネジメントに関する一般的な責任及び特定の責任の,定められた役割への割当て 逸脱及び例外を取り扱うプロセス なお、JIS Q 27001:2006では上位概念のISMS基本方針と下位概念の情報セキュリティ基本方針の2つがあったがJIS Q 27001:2014ではこれらは情報セキュリティ方針として統合された。 情報セキュリティ方針は情報セキュリティ目的もしくはそれを設定するための枠組みを含まねばならない。 情報セキュリティ目的は情報セキュリティ方針との整合性や実行可能な場合の測定可能性が求められ、「適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる」必要がある。 組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない
※この「情報セキュリティの方針群」の解説は、「情報セキュリティマネジメントシステム」の解説の一部です。
「情報セキュリティの方針群」を含む「情報セキュリティマネジメントシステム」の記事については、「情報セキュリティマネジメントシステム」の概要を参照ください。
- 情報セキュリティの方針群のページへのリンク
