ISMSサンプル文書集の中に情報セキュリティ方針群の様式が見あたらないようですが、どのように考えればよろしいのでしょうか?
情報セキュリティ方針と関連して、「情報セキュリティ方針群」がISO27001の書籍の随所に出て来ます。
ISO27002:2013では、示されたトピックスごとに方針を作成することを紹介しており、組織は現状調査の結果とISMSの適用範囲、利害関係者のニーズや期待を応じる情報セキュリティ方針群を定めることになるかと思います。
ISO27002が示す以下の例のように、トピックスごとにまとめた情報セキュリティ対策を、どのように実行するかを検討し、情報セキュリティ方針群として整理しようと考えています。
情報セキュリティ方針群のトピックスの例
a)アクセス制御
b)情報分類(及び取扱)
c)物理的及び環境的セキュリティ
d)...
つきましては、サンプル文書の中には、上記のような情報セキュリティ方針群の様式が見あたらないようですが、どのように考えればよろしいのでしょうか?
「情報セキュリティのための方針群」は、ISO/IEC27002の「管理策」および「実施の手引き」において、最上位の情報セキュリティ方針と複数の個別方針からなるものとして説明されています。
但し、ISO/IEC27002の「関連情報」において、「情報セキュリティのための方針は、単一の“情報セキュリティ方針”文書として発行することも、互いに関連のある一連の個別文書として発行することもできる。」と記述があります。その構成は、組織の状況にあわせて調整すべきものであるとされています。
小規模の組織では、情報セキュリティ方針を一つの文書とすることも通常と考えられます。また、組織によっては、個別の情報セキュリティ方針文書を、「標準」や「指令」または「規則」を指す場合もあります。
また、その構成に、組織の既存の規則が関連することもあります。
例えば、既存の施設管理の規則に入退室管理の規則があったり、文書管理規則に文書の機密性分類とラベル付けの規則があるように、情報セキュリティに関連する事項が含まれていることがあります。このような場合には、情報セキュリティのための方針群を既存文書も含めて構成することにもなります。
以上のような理由から、本サンプル文書では、旧規格からの移行において不必要な文書を増やさないことも考慮しつつ、個別方針のサンプルは設けておらず、上記のようなお客様の状況及び必要に応じて対応していただけるようにしております。
以上、ご理解のほど、よろしくお願いいたします。
