top of page
検索

情報セキュリティ推進のためのコミュニケーション

  • 執筆者の写真: 舩生 好幸
    舩生 好幸
  • 6月7日
  • 読了時間: 4分

更新日:6月11日

~「特別なもの」と構えないで。普段の業務における意思疎通・情報伝達と同様に~


投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2025.6.7

(更新:2025.6.11)


出典:写真AC(https://www.photo-ac.com/)
「オンライン会議・リモート会議・WEB会議」出典:写真AC(https://www.photo-ac.com/)

組織における情報セキュリティ対策の推進には、内外の関係者との適切なコミュニケーションが必要です。


それは、内外の関係者(従業員、役員、取引先、業務パートナー、等)に対し、

・伝達内容

・対象者

・連絡手段(同報通信、会議体、等)

・タイミング・伝達時期


といった点に配慮した、情報セキュリティに関する情報伝達や意思疎通の仕組みを確立し運用するということです。


情報セキュリティのためのコミュニケーションにも、一方向・双方向の両方があります。

会議体やミーティングのように対面で行う場合も、電子メールやイントラネットの掲示板、電話やFAX、印刷物配付や館内放送など、媒体やツールを利用する場合も含まれます。


情報セキュリティのためのコミュニケーションも、突き詰めれば人と人との関わり合い。

「特別なもの」と構えたりせず、通常の業務に関するコミュニケーションと同様に考え、進めることができるものです。


〇ISO/IEC27001におけるコミュニケーションの要件


ここで、コミュニケーションの仕組みを検討する際の拠り所として、情報セキュリティマネジメントシステム(ISMS)の認証規格・ISO/IEC 27001を参照します。


ISO/IEC27001:2022の「7.4 コミュニケーション」の箇条では、ISMS(情報セキュリティマネジメントシステム)確立のために、以下の要件を満たすことが求められます。


--(引用:JIS Q 27001:2023(ISO/IEC 27001:2022)7.4項より)ーー


7.4 コミュニケーション

組織は,次の事項を含む,ISMSに関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a) コミュニケーションの内容

b) コミュニケーションの実施時期

c) コミュニケーションの対象者

d) コミュニケーションの方法


--(引用ここまで:JIS Q 27001:2023(ISO/IEC 27001:2022)7.4項より)ーー


〇組織内外とのコミュニケーションの例


この段落では上記箇条の a) 項「内容」にポイントを置き、組織内/外の情報セキュリティコミュニケーション例をご紹介します。


(a)組織内の情報セキュリティコミュニケーション例:

・情報セキュリティ方針や年度目標などの周知

・情報セキュリティ推進体制や権限、役割分担に関する周知

・情報セキュリティ関連の規則やルールの周知


・情報セキュリティ関連イベントに関する周知

(情報資産洗い出しやリスク分析、教育訓練の実施、状況チェック(内部監査)の実施、など)


・インシデントや障害対応に関する指示や情報提供、およびインシデント予防に関する指示や情報提供


・現場や各組織から経営者や情報セキュリティ主管部門への実施結果報告・状況報告、ルールやマニュアル及びツール等の改善要求


・協議や報告、意見交換のための会議体の開催

(経営会議やマネジメントレビュー、情報セキュリティ委員会、職場ミーティング、障害発生時の緊急対策会議、など)


(b)外部の関係者との情報セキュリティコミュニケーション例:

・情報セキュリティ方針やインシデント対策などの開示・説明

・情報セキュリティ対策の実施結果報告・開示

・インシデントや障害発生時の状況や対応に関する説明・報告



〇適切なコミュニケーションが情報セキュリティ体制を推進する


情報セキュリティに関する適切なコミュニケーションが、経営者の掲げた方針やポリシー≒経営者の想い、を組織の末端にまで、また外部の関係者にまで浸透させることにつながります。


そして必要十分なコミュニケーションが、情報セキュリティ推進体制を支え、動かし、深刻な情報セキュリティインシデントや障害の発生を予防します。


また、適切なコミュニケーションは業務に従事するメンバーの情報セキュリティや守秘義務の意識、個人情報保護の意識を向上させ、現場から経営側へのフィードバックを促し、

ひいては風通しの良い組織や職場環境、組織としての一体感の醸成にもつながります。


冒頭にも申した通り、情報セキュリティに関するコミュニケーションといっても特別なものではありません。

通常の業務におけるコミュニケーションと同様に実践していただければ、と思います。


〇補足・認証取得にかかわらず、国際規格の活用は有効です


また、ISMSの第三者認証取得は組織の任意ですが、一方で、

組織的な情報セキュリティの仕組みの構築を考える際、ISO/IEC 27001などの国際規格をご参考にされると検討に「抜け漏れ」が少なくなり、結果的に作業も効率的になります。

ご利用をお勧めします。


(Primary-f/向実庵 代表)



<ご案内>

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。


Comments

bottom of page