「情報セキュリティ基本方針(A5)」を編集中

教育資料02の情報セキュリティ基本方針(A5)です。<br>
[[ISMS教育資料]]｜[[情報セキュリティのための組織(A6)]]→

<div id="manual">
=='''情報セキュリティ基本方針[A5.1]'''==
【目的】<br>
情報セキュリティのための経営陣の方向性及び支持を，事業上の要求事項，関連する法令及び規制に従って規定するため。

<div class="example">
===情報セキュリティ基本方針文書[A5.1.1]===
【管理策】<br>
<em>情報セキュリティ基本方針文書は，経営陣によって承認されなければならず，また，全従業員及び関連する外部関係者に公表し，通知しなければならない。</em><br>
【解説】<br>
'''（1）情報セキュリティ基本方針文書では、情報セキュリティに関する組織の基本方針をまとめたものである。'''<br>
標準的な情報セキュリティ基本方針の体系は、環境組織によって異なるので、情報セキュリティ基本方針の体系も組織によって異なる。<br>
注意しなければならない点は、情報セキュリティ基本方針の経営陣による承認・制定が求められることである。<br>
'''（2）役員・従業員などISMSにかかわる者全員に対して情報セキュリティ基本方針を教育・周知する必要がある。'''<br>
組織が情報セキュリティ基本文書の作成だけにとどまってしまい、情報セキュリティ基本方針を順守すべき役員や従業員がその内容を把握していなければ、ISMSが効果的に運用されているとはいえない。<br>
組織は、教育計画およびその実施記録を保管しておき、教育を実施した事実を説明できるようにしておく必要がある。<br>
</div>


<div class="example">
===情報セキュリティ基本方針のレビュー[A5.1.2]===
【管理策】<br>
<em>情報セキュリティ基本方針は，あらかじめ定められた間隔で，又は重大な変化が発生した場合に，それが引き続き適切，妥当及び有効であることを確実にするためにレビューしなければならない。</em><br>
【解説】<br>
情報セキュリティ基本方針は、情報技術の革新やさまざまな環境の変化にともなって変更される。そこで、事業上の要求事項を満たしているか、IT環境に対応した内容になっているか、といった視点から情報セキュリティ基本方針を定期的にレビューすることが必要になる。<br>
また、モバイルシステムの導入や大規模な組織変更が発生する場合には、“重大な変化が発生した場合”に該当すると考えられるので、こうした変化に対応して情報セキュリティ基本方針の内容を見直す必要がある。<br>
また、変更内容の妥当性をどのように検討したのか検討方法、検討項目、実施者などを明記した記録を保存しておく必要がある。<br>
なお、ISO27001の要求事項では、定期的にレビューを行うことが求められているので、少なくとも年1回、情報セキュリティ基本方針のレビューを行わなければならない。

</div>
</div>