情報セキュリティ基本方針の中に罰則が含まれていますが、これは要求されているものでしょうか?
ISMS認証取得パッケージにある基本方針書について質問があります。
罰則を基本方針に含んでいるかと存じますが、これは規格により要求されているものでしょうか。
「情報セキュリティ方針」への罰則の記述に関しては、規格等では要求されておりません。
よって、特に記述をしなくとも、審査にて指摘を受けることはないと思います。
なお、審査員にもよって異なるため、絶対とは言い切れませんが、コンサルティング事例では、無くても指摘は受けておりません。
ホームページに公開されている「情報セキュリティ方針」でも確認できますので、参考にしてみてください。
ちなみに、罰則を入れる場合であれば、総務省ではポリシー策定時の留意事項として、「形骸化を避けるために、違反時の罰則を明記する」との記載もあります。
以下のURLは、罰則を入れる場合の参考にしてください。
▼総務省「国民のための情報セキュリティサイト」 – 「セキュリティポリシーの策定」より
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-4.html
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000社以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
