ISO27001 > ISO27001:2013 > 4. 組織の状況 > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > 付属書A.管理目的及び管理策
7.支援のプロセスでは、効果的な ISMS を確立し、実施し、維持し、かつ継続的に改 善するために必要な支援の詳細を記載しています。
7で要求される文書類を文書化し、管理し、維持しながら、人々 の力量、並びに利害関係者との反復的及び必要に応じたコミュニケーションを確立するこ とを通じて、ISMS の運用の支援について規定しています。
7.支援のプロセスでは、効果的な ISMS を確立し、実施し、維持し、かつ継続的に改 善するために必要な支援の詳細を記載しています。
7で要求される文書類を文書化し、管理し、維持しながら、人々 の力量、並びに利害関係者との反復的及び必要に応じたコミュニケーションを確立するこ とを通じて、ISMS の運用の支援について規定しています。
2013 年版の「7.1 資源」は、2005 年版の「5.2.1 経営資源の提供」に対応します。~
トップマネジメントは、ISMS の必要性を理解し、そのために必要な資源の決定と提供を行わなければなりません。
ここで資源とは、「人」、「金」、「物」、「情報」など指しています。
例えば、ISMS 推進体制及び要員、情報機器を含む物品、活動経費となる資金、リスクに関する情報などです。
資源提供の留意点は、資源を必要とする時点には、必要な資源を確保しておくことがあげられます。
そのためには、今後必要となる資源を予測して事前に対応しておくことで手遅れになることが防げます。
トップマネジメントは、特にこの資源の決定に深く関与します。
トップマネジメントの重要な役割の 1つは、「人」、「物」、「金」、「情報」といった資源の提供です。
トップマネジメントは、ISMS の必要性を理解し、そのために必要な資源の決定と提供を行わなければなりません。
ここで資源とは、「人」、「金」、「物」、「情報」など指しています。
例えば、ISMS 推進体制及び要員、情報機器を含む物品、活動経費となる資金、リスクに関する情報などです。
資源提供の留意点は、資源を必要とする時点には、必要な資源を確保しておくことがあげられます。
そのためには、今後必要となる資源を予測して事前に対応しておくことで手遅れになることが防げます。
トップマネジメントは、特にこの資源の決定に深く関与します。
トップマネジメントの重要な役割の 1つは、「人」、「物」、「金」、「情報」といった資源の提供です。
2013 年版の「7.2 力量」と「7.3 認識」は、2005 年版の「5.2.2 教育・訓練、認識及び力量」に対応します。
7.2 では、7.1 で特定された人的資源に対して、各々の役割と責任に応じた必要な力量を備えていることを確実するために、行わなければならないことを規定しています。~
つまり、~
7.2 では、7.1 で特定された人的資源に対して、各々の役割と責任に応じた必要な力量を備えていることを確実するために、行わなければならないことを規定しています。~
つまり、~
- 力量を構成する要件を決定する。
- 必要とする力量と要員の力量とのギャップを分析し、必要な教育・訓練と経験によっ て力量をもたせる。
- 教育以外にも注記にあるように再配置や雇用や外部委託契約も含め、とった処置がギ ャップを埋めるに有効であったか、狙い通り課題解決が図られたかを評価する。
- 一連のこれらの活動の記録を力量の証拠として作成する。
7.3 では、会社の管理下で働く人々が、情報セキュリティ方針や ISMS の有効性に対する自らの貢献、ISMS 要求事項に適合しないことの意味を認識することを規定しています。
会社(組織)の管理下で働く人々は、自らの情報セキュリティについての活動の意味とその重要性を認識し、情報セキュリティ方針及び目的の達成に向けてどのように貢献できるかを認識できるものとすることが必要です。
7.2 で実施する教育・訓練の内容は、それを実現するものであることが求められます。
会社(組織)の管理下で働く人々は、自らの情報セキュリティについての活動の意味とその重要性を認識し、情報セキュリティ方針及び目的の達成に向けてどのように貢献できるかを認識できるものとすることが必要です。
7.2 で実施する教育・訓練の内容は、それを実現するものであることが求められます。
2013 年版の「7.4 コミュニケーション」は、新しく追加された要求事項です。
7.4 では、内外関係者との意思疎通が求められています。
コミュニケーション手段としては、メール・会議・Web 掲載など多岐にわたりますが、それらの利用に際して明確にしなければならない点を 7.4 で規定しています。
7.4 では、内外関係者との意思疎通が求められています。
コミュニケーション手段としては、メール・会議・Web 掲載など多岐にわたりますが、それらの利用に際して明確にしなければならない点を 7.4 で規定しています。
2013 年版では、これまでの「文書」や「記録」という用語が、「文書 化された情報」という用語に置き換わりました。
2013 年版の「7.5 文書化された情報」に、文書化された情報の作成、更新、管理な どの要求事項が記載されています。
~
~
~
~
2013 年版の「7.5 文書化された情報」に、文書化された情報の作成、更新、管理な どの要求事項が記載されています。
~
~
~
~
ISO27001 > ISO27001:2013 > 4. 組織の状況 > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > 付属書A.管理目的及び管理策
コメントをかく