A.6 情報セキュリティのための組織

ISMSの責任者と役割を決定します。
トップマネジメント、ISMS管理責任者など、具体的にはISMSマニュアルで定義します。不注意や不正を防止するために、職務権限を分離します。例えば、情報システムの開発者と運用者、情報システムのユーザーと承認者です。

セキュリティ事件事故が発生した場合の連絡先を明確にします。例えば、警察、消防、監督官庁、IPA、JP-CERTがあげられます。
モバイル機器の管理策は、会社の外で利用するリスクがあるため、利用の許可、取扱いのルール、暗号化、リモートロック、機器認証、ウイルス対策、バックアップなどの対策を検討します。最近ではSNSからの漏えいリスクもあるので、合わせて注意が必要です。

テレワーキングとは、在宅勤務のことを言います。個人の自宅やサテライトオフィスからネットワークに接続し業務を行う場合は、その対策を検討します。在宅勤務が無い場合は、適用除外とします。

ISO27001の更新