メルマガコラム - 現場のセキュリティ対策 - TBCソリューションズ

tbcソリューションズ
tbcソリューションズの実績

最大50%OFFが可能!! 割引制度割引制度詳細    サポーター会員なら受講料がお得サポーター会員詳細

現場のセキュリティ対策

A.5 情報セキュリティのための方針群(2)

『情報セキュリティのための方針群』って、何を指しているんですか?
管理目的及び管理策のお話をするときに、こんなご質問をいただくことがあります。
前回のお話の中で、「方針≒ルール」とイメージすると分かりやすいとのお話をしましたとおり、「方針群≒ルールの集まり」と考え、「情報セキュリティのための方針群」は「情報セキュリティに必要なルール」と読み替えると分かりやすくなると思います。

 

「情報セキュリティに必要なルール」とはどのようなものがるのかというと、これも前回のお話の中で挙げました以下のルールが附属書Aに登場します。

 (1) A. 6.2.1 モバイル機器の方針

 (2) A. 9.1.1 アクセス制御方針

 (3) A.10.1.1 暗号による管理策の利用方針

 (4) A.11.2.9 クリアデスク・クリアスクリーン方針

 (5) A.13.2.1 情報転送の方針

 (6) A.14.2.1 セキュリティに配慮した開発のための方針  

 (7) A.15.1.1 供給者関係のための情報セキュリティ方針

 

附属書Aの管理目的及び管理策は、必ずしも必須の要求ではありませんが、これら7つのルールについては、現代社会で経営を営む企業にとっては、おそらく必須となる最低限のルールと考えられます。ただ、セキュリティ対策のルールは、この他にもまだまだたくさん考えられます。例えば、ウィルス対策(A.12.2.1)、バックアップ(A.12.3.1)、ソフトウェアのインストールについて(A.12.6.2)等々。よって、企業によって、様々なルールが考えられます。

 

見出しについてのお話が長くなりましたが、A.5は情報セキュリティに必要なルールについての管理策ということであります。

 

■管理目的「A.5.1情報セキュリティのための経営陣の方向性」
ここでは、情報セキュリティのためのルールは、日常業務、顧客を含む利害関係者の要求や、法規制等に従うために定めることにより、会社の方向性を示すもの、とその目的を定義しています。ただ、管理目的で言われるまでもなく、ほとんどの企業において、セキュリティ対策はこれらの目的のために行っていると思います。。。

 

□管理策「A.5.1.1情報セキュリティのための方針群」
ここでは、必要な情報セキュリティのためのルールを定め、管理層が承認し、発行したルールは従業員のみではなく、関係する利害関係者も含めて通知することを要求しています。自社には、どのようなセキュリティ対策に関するルールがあって、これらをどのようにして従業員へ周知しているのか、または周知させているのかといった取

組みを決め、実施します。

 

□管理策「A.5.1.2情報セキュリティのための方針群のレビュー」
ここでは、定めた情報セキュリティのためのルールを、企業が決めた時期、または企業の取組み、特に情報セキュリティに影響を与える大きな変化が発生した場合には、見直しをすることを要求しています。具体的に、いつ見直しをするのか、どのような変化があった場合に見直すのか、といったことを決め、実施します。

 

このように、管理目的を達成するために準備する情報セキュリティのためのルール(文書)は、しっかりと管理し、状況にあわせて見直しをし、関係者全員にちゃんと理解させていく必要があるということです。ということで、A.5は情報セキュリティの取組みを社内に定着させるための第一歩となる管理策といったところでしょうか。

 

このお話が皆さんの取組みの再確認にご活用いただければと思います。
次回は、A.6.1についてお話をします。

【無料】TBCSメールマガジン

「TBCソリューションズ メールマガジン【無料】」は最新の研修・セミナー情報や、コンサルタントによるISO規格の解説情報、コンサルタント コラムやお得なキャンペーン情報や割引制度などをお届けするメールサービスです。
登録したメールマガジンは、すべて【無料】でご覧いただけます。

【TBCSメールマガジン(無料)の登録】

お問い合せ先

お問い合せはこちら 03-5259-7181 電話での受付時間:平日9:00~18:00 お問い合せ

このページのトップへ