CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

ISO27001を分かりやすく!③~リーダーシップ~

<リーダーシップ>

今回は「ISO27001を分かりやすく!①、②」に続く第三弾となります。

第三弾ではISO27001箇条5にあたる、リーダーシップについてご紹介させて頂きます!

この部分はそこまで長い部分ではないのですが、特にCISSP試験向けには非常に重要な概念となります。

個人的にはCISSP試験に必ず活きてくると思います!(^^♪

 

それでは見ていきましょう~~!

 

・リーダーシップとは? ~箇条5~

 

-5.1 組織及びその状況の理解

→ここでは、a)~h)までの「これをやりなさい!」という事項が定められています。とても雑にまとめると、以下のようなことを言っています。

 

~~組織の目指す姿に沿って情報セキュリティ方針目的を確立し、それらを実現するための体制を整備しましょう。そして、ISMSの認証が欲しいならばその要求事項を満たすように日々の運用を行いましょう! 「あ、もちろん先頭に立って引っ張っていくのは社長!偉い人!役員!あなたたちですよ!」~~

 

イメージをもってもらうために要約しましたが、全部細かく勉強したいという方はネットなどで探して頂くと、色々と情報がありますので、詳細はそちらにお譲り致します('_')

 

ここで必須で覚えて頂きたいのは、「偉い人(=トップマネジメント)自らが先頭に立って情報セキュリティの活動を実践する必要がある」ということです。シンプルですが、この概念はCISSP試験では必須です。必ず覚えてください!

 

そして、ここまでを頭でイメージ頂きながら、続きをご紹介させて頂きます。

 

-5.2 方針

→情報セキュリティ方針・目的共に組織の目指す姿と、それを達成するための組織的な方針に沿った内容であることが前提。そして情報セキュリティ方針・目的を達成するためにISMSを確立し、継続的に改善していきなさい。

 

というようなことを言っています。

 

その上で、「情報セキュリティ方針」について追加で認識しておくべきポイントがありますのでご紹介します。

 

・方針の中に、ISMSをちゃんとやりますというトップマネジメントのコミットを含むことが必須

・文書化が必須

・組織内にちゃんと広めることが必須

(=みんながいつでも見れて、内容を理解できるよう努めることが必須)

 

このくらい覚えておけばOKだと思います!(^^)!

 

-5.3 組織の役割、責任及び権限

→定めた情報セキュリティ方針・目的を達成するために必要なISMS要求事項を確実に達成するために必要な体制・権限をトップマネジメントが現場などに適切に付与しなさい。その上で、そのパフォーマンスを評価できるよう報告ルートを明確にしなさい。

 

というようなことを言っています。

シンプルイズザベストを追求したいので、ここでは、

「トップマネジメントが情報セキュリティに関する現状把握できるような体制にすることが重要」

とだけ覚えておいてください!

※ちなみに、その手段としては「報告ルートの確立」は重要ですので付け加えさせてください( ;∀;)

 

f:id:CyberSEALs:20201105120414j:plain

今回は以上です!!