5.1 経営陣のコミットメント
まず、ここで定義されている経営陣とは、社長のことを必ずしも指しているわけではなく、マネジメントシステム上のトップである、ということを理解しておいてください。
規格上では次のことをしなければならないとしています。
- ISMS基本方針を確立する
- ISMSの目標及び計画の確立を確実にする
- セキュリティのための役割及び責任の確立(任命など)
- 法律の遵守をさせる
- セキュリティ目的の重要性を社内に周知する
- セキュリティ方針に適合することの重要性を社内に周知する
- 継続的改善が必要であることを社内に周知する
- 必要な経営資源の配分
- リスクの受容基準、リスクの受容可能レベルの決定
- 内部監査を行わせる
- マネジメントレビューを実施する
これらを行うことが、経営陣の仕事であると定義しています。
ここで、次の言葉が冒頭に出てくることで表現がややこしくなっているのですが、規格では、
「ISMSの確立、導入、運用、監視、レビュー、維持、及び改善に対するコミットメントの証拠を次によって提供しなければならない」
という言葉が冒頭に出ています。
端的に言うならば、先ほどの6つの項目を実現するのは、経営陣が確実にマネジメントシステムを運用させているという証拠となる
ということを言いたいわけです。
ちなみに、コミットメントには承認、同意等の意味がありますが、要は、これらのことに確実にトップは関わってくださいね、人ごとじゃないんですよ。
というわけです。