ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「情報セキュリティ方針」は「情報セキュリティ基本方針」と同じなのでしょうか。

2015/06/22
ISMSサンプル文書集.  2,680 views

この記事は、内容が古い可能性がありますのでご注意ください。

B07 情報セキュリティ運営管理規定」の用語に関して質問があります。

(1) 「情報セキュリティ方針」は「情報セキュリティ基本方針」と同じなのでしょうか。

(2) 「情報セキュリティ方針書」は「情報セキュリティ基本方針書」と違うものなのでしょうか。
  違うとしましたら、「情報セキュリティ方針書」は、 具体的にどういう書類でしょうか。

「情報セキュリティ基本方針」および「情報セキュリティ基本方針書」に関して、ご説明いたします。

サンプル文書「B07 情報セキュリティ運営管理規程」の「11.1 情報セキュリティ基本方針の設定」は、ISO/IEC 27001:2013の附属書A「A.5.1 情報セキュリティのための経営陣の方向性」に対応した管理策となります。

この部分は、規格改訂の際、旧版のISO/IEC 27001:2005の附属書A「A.5.1 情報セキュリティ基本方針」を引きついだものとなっております。

旧版(2005年版)では、「情報セキュリティ基本方針文書」といった1つの基本方針だったのに対して、現行(2013年版)では、「情報セキュリティのための方針群」と変わっています。

これは、基本方針以外にも、個別で方針がある場合を想定されたものとなります。
基本方針が、組織における最も高いレベルの方針となるため、それ以外に必要なければ特に方針を作る必要ありません。

サンプル文書にあります「情報セキュリティ方針書」は、それらの方針書を組織で作る場合を想定しています。
基本方針以外の方針がなければ、「方針」=「基本方針」および「方針書」=「基本方針」とご理解いただいて結構です。