情報セキュリティ方針群は独立した文書が必要ですか?作成方法と整理のコツは?
情報セキュリティ方針と関連して、「情報セキュリティ方針群」がISO27001の書籍の随所に出て来ます。
ISO27002:2024では、示されたトピックスごとに方針を作成することを紹介しており、組織は現状調査の結果とISMSの適用範囲、利害関係者のニーズや期待を応じる情報セキュリティ方針群を定めることになるかと思います。
ISO27002が示す以下の例のように、トピックスごとにまとめた情報セキュリティ対策を、どのように実行するかを検討し、情報セキュリティ方針群として整理しようと考えています。
情報セキュリティ方針群のトピックスの例
a)アクセス制御
b)情報分類(及び取扱)
c)物理的及び環境的セキュリティ
d)...
つきましては、サンプル文書の中には、上記のような情報セキュリティ方針群の様式が見あたらないようですが、どのように考えればよろしいのでしょうか?
ご質問ありがとうございます。JIS Q 27002:2024(箇条5.1)で示されている「情報セキュリティのための方針群」の構成について、最新の規格要求事項に基づき解説いたします。
結論から申し上げますと、「方針群」とは必ずしも新しい文書を大量に作成することを意味するものではありません。 弊社のサンプル文書では、組織の負担を軽減しつつ規格に適合できるよう、実務的な構成をとっています。
1. 「方針群」の階層構造(ピラミッド構造)
最新の指針では、方針群を以下の2つのレベルで構成することが望ましいとされています。
- 最上位:情報セキュリティ方針(一般的・高いレベル)
トップマネジメントが承認する、組織全体の取組み姿勢を示す単一の文書です。 - より低いレベル:トピック固有の方針(固有・詳細レベル)
「アクセス制御」「バックアップ」「暗号化」など、特定の領域におけるルールを補完するものです。
2. なぜ専用の様式が「見当たらない」のか
弊社のサンプル文書では、トピック固有の方針を独立した「方針書」としてバラバラに作成するのではなく、「情報セキュリティ管理規程」や各個別規程の中に、その内容を包含(セット)する形式を採用しています。
これには以下の3つの実務的なメリットがあるためです。
- 文書管理の効率化:
小規模〜中規模の組織において、トピックごとに「方針」「規程」「マニュアル」と文書が分かれると、管理が煩雑になり、内容の矛盾が生じやすくなります。 - 既存文書との親和性:
規格の指針でも、方針群の名称は「標準」「規則」など組織のニーズに合わせた形式でよいとされています。施設管理規則に入退室管理が含まれている場合、それが「方針群」の一部として機能します。 - 審査への適合性:
規格上、情報セキュリティ方針とトピック固有の方針を「単一の文書」にまとめることは明確に認められています。弊社のサンプルは、この「統合型」の構成をとっています。
3. トピック固有の方針をどう具体化すべきか
もし、特定のトピック(例:クラウド利用、テレワーク、モバイル機器利用など)について、社外への提示や従業員への徹底のために独立した「方針」が必要になった場合は、以下のポイントで作成してください。
| 項目 | 情報セキュリティ方針 | トピック固有の方針 |
|---|---|---|
| 詳細さ | 一般的・抽象的 | 具体的・詳細 |
| 承認者 | トップマネジメント | 適切なマネジメントレベル(部門長等) |
| 内容の例 | 定義、目的、継続的改善のコミットメント | アクセス制御、バックアップ、情報の分類・取扱い |
4. 運用のアドバイス
まずは、弊社のサンプル文書にある「情報セキュリティ方針」と「各管理規程」をそのまま活用してください。それらが有機的に結びついている状態こそが、規格の求める「方針群」の実体です。
「方針群」という言葉に惑わされて不必要な文書を増やすのではなく、実務において「誰が、どのルール(トピック)を守るべきか」が明確になっているかどうかを優先して整備されることをお勧めいたします。
