『5.2方針』ISO27001 規格解説
2019年05月30日
【要求事項解説】
社長は、次の事項を満たす「情報セキュリティ基本方針」を策定し、周知し、見直しをする。
- 組織の目的に対して適切である。
- 情報セキュリティ目的(6.2参照)を含むか、又は情報セキュリティ目的の設定のための枠組みを示す。
- 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
- 情報セキュリティマネジメントシステムの継続的改善へのコミットメントを含む。
「情報セキュリティ基本方針」は、次に示す事項を実施する。 - 文書化した情報として利用可能である。【文書化】
- 組織内に伝達する。【社内掲示】
- 必要に応じて、利害関係者が入手可能である。【ホームページに掲載】
方針はトップマネジメントによって出される組織の目指す方向を示すものです。
1)2)3)4)の項目を文書化し明確にしなければなりません。
- その方針が、組織の目的(例えば、基本理念やミッション)に対して適切である。
- 方針は目標を設定できる枠組みを与えなければなりません。
- マネジメントシステムの要求事項への適合のコミットメントが必要です。
- ISMSの有効性の継続的改善に対するコミットメントが必要です。
また、方針について次について実施しなければなりません。 - 文書化します。
- 全従業員に、方針の内容を知らせ、理解させます。(派遣社員、パートなども含む)
- 利害関係者がいつでも確認できる状態にする必要があります。
さて、方針(情報セキュリティ基本方針)は審査では、その存在が全社員が知っている事がマストですが、その内容を研修で効果的に実施されているでしょうか?
これらの方針は、動画を活用した方が有効性が高いのではないでしょうか?
例えば、研修内容を動画に残しておくことで
- 社員が入社するたびに説明する手間が省ける
- 社員が自分の予定に合わせて見られる
- 社員が繰り返し見られる
社員研修用の動画は様々なシーンで活用できます。
弊社では、そのようなニーズにお応えするサービスとして、「社長アーカイブ」をリリースしました。以下サイトより弊社社長動画も公開しております。是非、ご欄ください。