情報セキュリティ基本方針の中に罰則が含まれていますが、これは要求されているものでしょうか?
ISMS認証取得パッケージにある基本方針書について質問があります。
罰則を基本方針に含んでいるかと存じますが、これは規格により要求されているものでしょうか。
「情報セキュリティ方針」への罰則の記述に関しては、規格等では要求されておりません。
よって、特に記述をしなくとも、審査にて指摘を受けることはないと思います。
なお、審査員にもよって異なるため、絶対とは言い切れませんが、コンサルティング事例では、無くても指摘は受けておりません。
ホームページに公開されている「情報セキュリティ方針」でも確認できますので、参考にしてみてください。
ちなみに、罰則を入れる場合であれば、総務省ではポリシー策定時の留意事項として、「形骸化を避けるために、違反時の罰則を明記する」との記載もあります。
以下のURLは、罰則を入れる場合の参考にしてください。
▼総務省「国民のための情報セキュリティサイト」 – 「セキュリティポリシーの策定」より
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-4.html