ISMSを適切に運営していく上で、経営層の関与は不可欠です。認定基準においても、ISMSの確立、導入、運用、監視、レビュー、維持及び改善に対する経営層のコミットメントが求められていますが、注目すべきはコミットメントの「証拠」を要求している点です。経営層が「やります」と言うだけでなく、実際に実施して見せることで証拠を見せないといけないのです。
| 経営層が実施しなければならない項目 |
| 基本方針の確立 |
| 目的の設定・計画の立案 |
| 情報セキュリティの役割・責任の明確化 |
| 組織内の周知 |
| 経営資源の提供 |
| リスクの受け入れ可能な水準の決定 |
| 内部監査の実施 |
| マネジメントレビューの実施 |
これらの8項目について、経営層が関与したという証拠を残す必要があります。例えば、ISMSの基本方針の確立ならば、これを経営者が承認したことを示す「承認印」が捺印されている、といった具合です。また、マネジメントレビューも、経営陣がISMSに関与する機会となりますので、これらを通じて、経営陣がISMSに積極的に参加し、組織を上げてのシステムとして導入、運用を図らねばなりません。