ISO27001 > ISO27001:2013 > 4. 組織の状況 > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > 付属書A.管理目的及び管理策
この箇条では、ISMS におけるトップマネジメントの具体的な役割が要求事項となっています。
2005 年版「5.1 経営陣のコ ミットメント」は、2013年版の「5.1 リーダーシップ及びコミットメント」「5.2 方針」「5.3 組織の役割、責任及び権限」に対応しています。
この箇条では、ISMS におけるトップマネジメントの具体的な役割が要求事項となっています。
2005 年版「5.1 経営陣のコ ミットメント」は、2013年版の「5.1 リーダーシップ及びコミットメント」「5.2 方針」「5.3 組織の役割、責任及び権限」に対応しています。
ISMS に関するリーダーシップ及びコミットメントを実証することが記載されています。
トップマネジメントの果たすべき重要な役割の 1 つにコミットメントがあります。
ISMS の確立、実施、運用及び維持等に関与し、組織として情報セキュリティの実施責任を利害関係者に宣言する「コミットメント」は、執行権限を有するトップマネジメントにのみ実施する事が許されるからです。
トップマネジメントの果たすべき重要な役割の 1 つにコミットメントがあります。
ISMS の確立、実施、運用及び維持等に関与し、組織として情報セキュリティの実施責任を利害関係者に宣言する「コミットメント」は、執行権限を有するトップマネジメントにのみ実施する事が許されるからです。
セキュリティ方針 を確立することが記載されています。
2005年版では、ISMS policy(ISMS 基本方針)と ISMS objectives(ISMS の目的)という用語が使われていましたが、2013 年版では、それらが information security policy( 情報セキュリティ方針)と information security objectives(情報セキュリティ目的)に 変更されています。
2005年版では、ISMS policy(ISMS 基本方針)と ISMS objectives(ISMS の目的)という用語が使われていましたが、2013 年版では、それらが information security policy( 情報セキュリティ方針)と information security objectives(情報セキュリティ目的)に 変更されています。
責任及び権限の割り当て、組織内への伝達について記載されてい ます。
組織が自らの情報セキュリティ目的に向かって活動するためには、役割を決め、それに対する責任及び権限を割り当てることは重要です。
ISMS で自分がどのような役割を担い、どこまでする責任があるのか不明確であれば、各従業員は何をしたら良いか迷い、何もせずに終わってしまうことが考えられます。
このような状況に陥らないためにも、トップマネジメントが情報セキュリティに関連する役割を決め、それに対する責任と権限を割り当てたことを組織内に周知する必要があります。
~
~
~
~
組織が自らの情報セキュリティ目的に向かって活動するためには、役割を決め、それに対する責任及び権限を割り当てることは重要です。
ISMS で自分がどのような役割を担い、どこまでする責任があるのか不明確であれば、各従業員は何をしたら良いか迷い、何もせずに終わってしまうことが考えられます。
このような状況に陥らないためにも、トップマネジメントが情報セキュリティに関連する役割を決め、それに対する責任と権限を割り当てたことを組織内に周知する必要があります。
~
~
~
~
ISO27001 > ISO27001:2013 > 4. 組織の状況 > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > 付属書A.管理目的及び管理策
コメントをかく