禁パチしようぜ!

ギャンブル以外にできること

A5 情報セキュリティのための方針群

   

ここは項目も少ないのでパパっと。

A.5.1.1 情報セキュリティのための方針群
情報セキュリティのための方針群は,これを定義し,管理層が承認し,発行し,従業員及び関連する外部関係者に通知しなければならない。

①情報セキュリティ方針ってあるよね?
②管理層の承認を受けているよね?
③社内外に通知されているよね?

①に関してはもはや無いと何のためにISMSを、というレベルなので割愛。
②は改訂の都度承認を受けていることを確認する。マネジメントレビューで
改訂のレビューをしていれば議事録が該当しうる。
③はHP掲載とかマニュアル、手順書等の記載があればOK。

A5.1.2 情報セキュリティのための方針群のレビュー
情報セキュリティのための方針群は,あらかじめ定められた間隔で,又は重大な変化が発生した場合に,
それが引き続き適切,妥当かつ有効であることを確実にするためにレビューしなければならない。

①定められた間隔、または必要に応じレビューされているよね?

①だけ。年に一度と定めておいて年間スケジュールで実施時期を決めるのが
フレキシブルでやりやすいと思います。

 - A5 情報セキュリティのための方針群