5.1 リーダーシップ及びコミットメント
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社 |
| 箇条番号 | 5.1 |
| 分類 | リーダーシップ |
トップマネジメントは、次に示す事項によって、ISMSに関するリーダーシップ及びコミットメントを実証しなければならない。
- a) 情報セキュリティ方針及び情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にする。
- b) 組織のプロセスへのISMS要求事項の統合を確実にする。
- c) ISMSに必要な資源が利用可能であることを確実にする。
- d) 有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達する。
- e) ISMSがその意図した成果を達成することを確実にする。
- f) ISMSの有効性に寄与するよう人々を指揮し、支援する。
- g) 継続的改善を促進する。
- h) その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、管理層の役割を支援する。
トップマネジメントがISMSに対する明確なリーダーシップとコミットメントを示すことで、組織全体の情報セキュリティ意識を高め、ISMSの有効な運用を確保するため。
当社における実施状況
Section titled “当社における実施状況”当社では、代表取締役(情報セキュリティ責任者)がトップマネジメントとして、以下の方法によりISMSへのリーダーシップ及びコミットメントを実証している。
a) 情報セキュリティ方針及び目的の確立
Section titled “a) 情報セキュリティ方針及び目的の確立”代表取締役は、情報セキュリティ基本方針を承認し、組織の戦略的方向性と整合した情報セキュリティ目的を設定している。方針は年1回見直しを行い、必要に応じて改訂する。
b) 組織プロセスへのISMS要求事項の統合
Section titled “b) 組織プロセスへのISMS要求事項の統合”情報セキュリティ要求事項は、以下の業務プロセスに統合されている。
- システム開発プロセス:8. システム開発・保守
- 委託先管理プロセス:9. 委託先管理
- 人事プロセス:2. 人的対策
- SaaS導入プロセス:13. SaaS・シャドーIT管理
c) 資源の確保
Section titled “c) 資源の確保”代表取締役は、ISMSの確立・実施・維持・継続的改善に必要な以下の資源を確保している。
- 人的資源:情報セキュリティ委員会の設置、各役割への担当者の任命
- 技術的資源:セキュリティツール、クラウドサービスの導入・維持
- 財務的資源:情報セキュリティ関連の予算確保
d) 重要性の伝達
Section titled “d) 重要性の伝達”情報セキュリティの重要性は、以下の方法で組織内に伝達されている。
e) 意図した成果の達成
Section titled “e) 意図した成果の達成”ISMSの意図した成果(情報資産の機密性・完全性・可用性の維持)の達成状況は、以下により確認している。
- 年1回の内部監査
- マネジメントレビュー(8月実施)
- インシデント発生状況のモニタリング
f) 人々の指揮・支援
Section titled “f) 人々の指揮・支援”代表取締役は、1. 組織的対策に定める組織体制を通じて、従業員がISMSの有効性に寄与できるよう指揮・支援している。
g) 継続的改善の促進
Section titled “g) 継続的改善の促進”継続的改善は、以下のプロセスを通じて促進されている。
- 内部監査結果に基づく改善
- インシデント対応後の再発防止策
- マネジメントレビューでの改善指示
h) 管理層の役割支援
Section titled “h) 管理層の役割支援”代表取締役は、CTOをはじめとする管理層が各責任領域においてリーダーシップを発揮できるよう、権限委譲と支援を行っている。詳細は1. 組織的対策を参照。
| 証跡 | 内容 | 保管場所 |
|---|---|---|
| 情報セキュリティ基本方針 | 代表取締役承認済みの方針文書 | ISMS文書管理システム |
| マネジメントレビュー議事録 | 年1回のレビュー記録 | Google Drive |
| 内部監査報告書 | 監査結果と改善指示 | Google Drive |
| 教育実施記録 | 研修参加記録、Slackリアクション | カレンダー、Slack |