「情報セキュリティ方針」は「情報セキュリティ基本方針」と同じなのでしょうか。
B07 情報セキュリティ運営管理規定」の用語に関して質問があります。
(1) 「情報セキュリティ方針」は「情報セキュリティ基本方針」と同じなのでしょうか。
(2) 「情報セキュリティ方針書」は「情報セキュリティ基本方針書」と違うものなのでしょうか。
違うとしましたら、「情報セキュリティ方針書」は、 具体的にどういう書類でしょうか。
結論から申し上げますと、弊社のサンプル文書において、これらは組織の最上位に位置づけられる「同じ方針(書類)」を指しています。
混乱を招いてしまい大変恐縮ですが、背景にある規格の変更点と、最新のサンプル文書における表記の統一について詳しく解説いたします。
1. 「情報セキュリティ方針」と「基本方針」は同じか?
規格上の正式名称と、一般的な実務上の呼び方の違いですが、意味としては同じものと考えていただいて差し支えありません。
- 規格上の表現:
JIS Q 27001の本文(箇条5.2)では、単に「情報セキュリティ方針」と表現されています。 - 実務上の表現:
多くの組織では、後述する「個別の方針」と区別するために、組織の最高レベルの意思表明を「情報セキュリティ基本方針」と呼ぶのが一般的です。弊社の規程類でも、分かりやすさを重視して「基本方針」という言葉を使用しています。
2. 「方針書」と「基本方針書」の違い(お詫びと訂正)
ご質問いただいた「情報セキュリティ方針書」という記述についてですが、こちらは旧バージョンのサンプル文書における表記の誤記でございました。ご困惑させてしまい、深くお詫び申し上げます。
「方針書」のままだと、基本方針とは別の「個別の方針書」が存在するかのような誤解を与えてしまうため、最新版のサンプル文書では「情報セキュリティ基本方針書」という名称にすべて統一・修正しております。
したがって、別の書類を新しく作成していただく必要はございません。
3. 最新規格(JIS Q 27001:2023)における「方針群」の考え方
なぜこのような用語の混在が起こるのか、規格の歴史的な背景を知ると理解が深まります。
- 旧規格(JIS Q 27001:2006まで):
組織に1つの「情報セキュリティ基本方針」があれば良いというシンプルな考え方でした。 - 現行規格(JIS Q 27001:2014 〜 最新2023年版):
附属書A(A.5.1)において、「情報セキュリティのための方針群」および「トピック別方針」という考え方が導入されました。
これは、「会社全体の基本方針」を最上位に置きつつ、必要に応じて「モバイルデバイス管理方針」「アクセス制御方針」「リモートワーク方針」といった、特定のトピックに特化した具体的な個別方針をぶら下げる、という階層構造を意味しています。
4. 貴社におけるこれからの進め方
弊社の最新版「ISMSサンプル文書集」では、この規格の要求事項を最も効率よくクリアできるように設計しています。
- 最上位の方針:
収録されている「情報セキュリティ基本方針書」をそのまま自社向けにカスタマイズしてご利用ください。 - トピック別方針の扱い:
トピック固有の方針(アクセス制御やモバイル等)をすべて別々の「〇〇方針書」として独立させると、書類が大量に増えて管理が破綻してしまいます。そのため、弊社のパッケージでは、それらの個別ルールを「B07 情報セキュリティ運営管理規程」などの下位規程の中に各章として包括させています。
これにより、審査基準を満たしつつ、管理する書類の数を最小限に抑える「軽量化」を実現しています。
最新版のサンプル文書では「情報セキュリティ基本方針書」を整備していただければ、審査上も実務上も完全にカバーできますので、どうぞご安心のうえ構築を進めてください。
