セミナー・教育｜株式会社 エスケイワード コンサルティング事業部

ISO『6.計画」ISO27001　規格解説

【要求事項解説】

「計画」には、“マネジメントシステム全体についての計画”と“マネジメントシステムの意図する結果を実現するための計画”の２つがあります。このうち、マネジメントシステム全体についての計画プロセスを規定しているのが、「6.計画」です。ここでは、ISMSそのものを定める「4.4情報セキュリティマネジメントシステム」を満たす全体計画として、マネジメントシステムを構成して運用するための計画がどうあるべきかが定められています。

その具体的な活動が、
「6.1リスク及び機会に対応するための処置」
「6.2情報セキュリティ目的及びそれを達成するための計画」になります。

計画する際は、組織の内外の事項及び利害関係者の要求事項を考盧に入れるとともに、リスクと機会を明らかにし、それらをどのように取組み、その結果をどのように評価するのかを計画することが求められています。

また、情報セキュリティ目的を達成するために、具体的で適切な計画を作成しなければなりません。すなわち、責任者が明示され、進捗管理ができるような実行と達成度合いを監視できる日程（スケジュール）、具体的な手段（施策や方法）が盛り込まれている必要があります。