「情報セキュリティ方針」は「情報セキュリティ基本方針」と同じなのでしょうか。
B07 情報セキュリティ運営管理規定」の用語に関して質問があります。
(1) 「情報セキュリティ方針」は「情報セキュリティ基本方針」と同じなのでしょうか。
(2) 「情報セキュリティ方針書」は「情報セキュリティ基本方針書」と違うものなのでしょうか。
違うとしましたら、「情報セキュリティ方針書」は、 具体的にどういう書類でしょうか。
「情報セキュリティ基本方針」および「情報セキュリティ基本方針書」に関して、ご説明いたします。
サンプル文書「B07 情報セキュリティ運営管理規程」の「11.1 情報セキュリティ基本方針の設定」は、ISO/IEC 27001:2013の附属書A「A.5.1 情報セキュリティのための経営陣の方向性」に対応した管理策となります。
この部分は、規格改訂の際、旧版のISO/IEC 27001:2005の附属書A「A.5.1 情報セキュリティ基本方針」を引きついだものとなっております。
旧版(2005年版)では、「情報セキュリティ基本方針文書」といった1つの基本方針だったのに対して、現行(2013年版)では、「情報セキュリティのための方針群」と変わっています。
これは、基本方針以外にも、個別で方針がある場合を想定されたものとなります。
基本方針が、組織における最も高いレベルの方針となるため、それ以外に必要なければ特に方針を作る必要ありません。
サンプル文書にあります「情報セキュリティ方針書」は、それらの方針書を組織で作る場合を想定しています。
基本方針以外の方針がなければ、「方針」=「基本方針」および「方針書」=「基本方針」とご理解いただいて結構です。