ISMS(ISO 27001)の基本方針に「罰則」の記述は必須ですか?規格の要求事項を確認したい
ISMS認証取得パッケージにある基本方針書について質問があります。
罰則を基本方針に含んでいるかと存じますが、これは規格により要求されているものでしょうか。
ISMS基本方針書における罰則規定の扱いについて回答申し上げます。
結論から申し上げますと、JIS Q 27001規格において、基本方針書の中に罰則を記載することは要求事項ではありません。したがって、記載がなくても審査で指摘を受けることはございませんのでご安心ください。
1. 規格上の要求事項と実務上の扱い
JIS Q 27001の「5.2 情報セキュリティ方針」では、方針の確立を求めていますが、具体的な罰則の明記までは義務付けていません。
多くの組織では、罰則については「就業規則」等の人事規定で定めており、セキュリティ方針の中では「違反した場合は、就業規則に基づき処分の対象とする」といった一文を添える、あるいは言及を避ける形が一般的です。弊社のコンサルティング事例においても、罰則の記載がないことで不適合となったケースはございません。
- 実務上の対応:
罰則は「就業規則」に委ねるのが一般的です。 - 審査への影響:
記載がないことだけで不適合になることはありません。コンサルティング現場でも、未記載での合格実績が多数ございます。
2. 罰則を記載するメリット(形骸化の防止)
あえてサンプルに記載している理由は、組織全体への「抑止力」を高めるためです。
総務省のガイドライン等でも、セキュリティポリシー策定時の留意事項として「方針を厳守させるため、違反時の罰則を明記、あるいは就業規則への橋渡しをすることが望ましい」と推奨されています。
3. 運用のポイント
基本方針書はホームページ等で外部に公開することも多いため、記載については貴社の状況に合わせて、以下のいずれかの形をご検討ください。
- 抑止力を重視する場合:
サンプル通り、「違反時は就業規則に基づき処分する」旨を記載する。 - シンプルさを重視する場合:
基本方針からは削除し、社内規程(マニュアル等)のみに記載する。
弊社のサンプルは、あくまで「より堅実な運用」を目指す構成にしておりますが、貴社の社風や公開の有無に合わせて調整していただいて構いません。
