お知らせ・トピックス

『6.2目的リスク及び機会への取組み』ISO27001　規格解説

2019年01月11日

情報セキュリティ基本方針と合致した、測定可能な情報セキュリティ目的の設定と文書化をしなければなりません。

情報セキュリティ目的は、達成されたかどうかが判別できることが必要となります。

事業継続目的の設定に当たり、要求事項b）の「適用される情報セキュリティ要求事項、並びにリスクアセスメント及びリスク対応からの結果を考慮に入れる。」と記載があります。

リスク対応を活用し具体的なリスク対応などを求めた後、目標として記載することもできます。

また、情報セキュリティ目的を達成するために、具体的で適切な計画を作成しなければなりません。

すなわち、責任者が明示され、進捗管理ができるような実行と達成度合いを監視できる日程（スケジュール）、具体的な手段（施策や方法）が盛り込まれている必要があります。