コンテンツにスキップ
ISMSマニュアル

A.5.1 情報セキュリティのための方針群

項目内容
改訂日2024.04.01
適用範囲全社・全従業員
管理策番号A.5.1
分類組織的管理策

管理策

Section titled “管理策”

情報セキュリティ方針及びトピック固有の方針は、定義し、経営陣が承認し、発行し、関連する要員及び関係する利害関係者に伝達し、認識させ、計画した間隔で及び重大な変化が発生した場合にレビューしなければならない。

目的

Section titled “目的”

経営陣の方向性及び情報セキュリティに対する支持を、事業上の要求事項並びに関連する法令及び規制に従って規定するため。

実施の手引き

Section titled “実施の手引き”

組織は、最上位レベルで「情報セキュリティ方針」を定義し、経営陣の承認を得る必要がある。この方針には以下を含めることが推奨される。

  • 情報セキュリティの定義、目的及び原則
  • 情報セキュリティに関する役割及び責任の割当て
  • 例外及び免除を扱うプロセス
  • 情報セキュリティ方針の不遵守の結果

トピック固有の方針は、組織のニーズに基づいて策定し、以下のような分野を対象とすることができる。

  • アクセス制御
  • 物理的及び環境的セキュリティ
  • 資産管理
  • 情報転送
  • エンドポイントデバイスのセキュリティ設定
  • ネットワークセキュリティ
  • 情報セキュリティインシデント管理
  • バックアップ
  • 暗号及び鍵管理
  • 情報の分類及び取扱い
  • 技術的ぜい弱性の管理
  • セキュアな開発

当社における実施状況

Section titled “当社における実施状況”

当社では、情報セキュリティ責任者(代表取締役)の承認のもと、情報セキュリティ方針を策定し、全従業員に周知している。方針は年1回および重大な変化が発生した場合にレビューを行う。

関連文書

Section titled “関連文書”
  • 情報セキュリティ基本方針
    1. 組織的対策
    1. 人的対策
    1. 情報資産管理
    1. アクセス制御及び認証
    1. 物理的対策
    1. IT機器利用
    1. IT基盤運用管理
    1. システム開発及び保守
    1. 委託管理
    1. 情報セキュリティインシデント対応及び事業継続管理
    1. テレワークにおける対策