5.2 経営資源の運用管理

5.2.1 経営資源の提供

ISMSを運営するにあたって、下記の事項の運用に必要な資源の配分は経営陣の責任において行うことを求めています。

これらの活動で必要となった資源は確実に使えるような体制を整えなさい、ということです。

ここでいう資源とはお金だけでなく人や技術などの資源も含めた必要な資源すべてを対象としています。

5.2.2 教育・訓練・意識向上及び力量

人の能力が、情報セキュリティ活動に関連する場合は、適切な能力を満たさなければならないとされています。

また、自覚を求めており、自覚とは情報セキュリティ活動の重要性などを自覚することを言います。

これを確実に把握するためには、力量を判断する根拠となる情報を管理しなければならないということがこの項目には規程されています。

また、そのために必要な教育などを実施したうえで、その処置の有効性を評価することを求めています。

それだけでなく、教育関連の記録は維持することも求めています。

さらには個別に、情報セキュリティの意味と重要性を認識させるために、意識向上をさせることを求めています。

そのためにも、教育はある程度定期的(年1回ほど)実施することが求められます。