1. ISMSの目標

• 1）ビジネス目標達成のために実効性高く運用する
• 2）リスクを総合的に検知し迅速に対策を実施する
• 3）法的要求事項および契約に対して遵守履行する
• 4）リスクコミュニケーションを確実なものとする

2. ISMSの枠組み

• 1）ISMS（ISO/IEC 27001:2022（JIS Q 27001:2023））規格要求に基づき構築する
• 2）プロセスアプローチで継続的にスパイラルアップする
• 3）管理策は常に有効性を検証し、合理的な対策とする
• 4）対策は組織の能力•資源に応じ身の丈に合った内容とする
• 5）構築された活動方針はISMS文書として関係者に周知される

3. 役割と責任（運営体制・方針）

• 1）経営層は活動に対して責任を持ち、コミットメントする
• 2）その証として活動を承認し、資源提供し、関与する
• 3）運営組織体制を整備し、従業員は自らの役割と責任を認識する

4. ISMSの運用

• 1）リスクマネジメント認識、能力を高めるための教育活動を実施する
• 2）ISMS各規定に基づき実践し問題発生の場合は速やかに報告、対応する
• 3）相互協力、連携し、ISMS活動およびスキルのレベルアップを図る

5. ISMSの見直し

• 1）ISMS基本方針は、定期的（年1回）または必要に応じて時機を逃さずレビューする
• 2）ISMS基本方針改定により影響を受ける内容についてレビューする
• 3）経営層は定期的にまた必要に応じて内部監査の実施を確実にする
• 4）経営層レビューは監査結果、ビジネス変化、利害関係者の意見を反映する

6. 事故・違反等

• 1）情報セキュリティ事故や法令違反等の重大な問題に直面した場合は、直ちに対策委員会を設置し、原因究明およびその対策を検討し、利害関係者等へ迅速な対応をするための処置を実施する。また逐次関係当局に報告し、指示を仰ぐとともに、その経緯はホームページ等で公表する
• 2）ISMS各方針・マニュアル、就業規則、関連法令、条例、ガイドライン等を遵守せず、利害関係者の情報資産の保護を危うくする行為を、故意または過失にかかわらず行った従業員は制裁および法的処分の対象となる