情報セキュリティ基本方針の中に罰則が含まれていますが、これは要求されているものでしょうか？

「情報セキュリティ方針」への罰則の記述に関しては、規格等では要求されておりません。

よって、特に記述をしなくとも、審査にて指摘を受けることはないと思います。

なお、審査員にもよって異なるため、絶対とは言い切れませんが、コンサルティング事例では、無くても指摘は受けておりません。

ホームページに公開されている「情報セキュリティ方針」でも確認できますので、参考にしてみてください。

ちなみに、罰則を入れる場合であれば、総務省ではポリシー策定時の留意事項として、「形骸化を避けるために、違反時の罰則を明記する」との記載もあります。

以下のURLは、罰則を入れる場合の参考にしてください。

▼総務省「国民のための情報セキュリティサイト」 – 「セキュリティポリシーの策定」より
　http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-4.html