ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

A.5.1.1 情報セキュリティのための方針群に関して、下位の方針に対するプロセスが無いと指摘がありました。

12.14.2016 | ISMSサンプル文書集.  1,753 views

ISMSの文書審査において、審査員からの不適合指摘がありました。

A.5.1.1 情報セキュリティのための方針群で、下位の方針に対するプロセスが無いと指摘です。

「2016年から改訂され、JIS Q 27001:2014 では、上位に1つの情報セキュリティ方針を、下記に個別方針を定める。
アクセス制御、情報分類等々。」との審査員のコメントでした。

購入したサンプルでは、このような書き方ではないようですが、どのように解釈した方が良いのでしょうか。

「A.5.1.1 情報セキュリティのための方針群」では、「情報セキュリティ方針」とともに、以下の「個別方針のトピックの例」に示される管理策についても言及されています。
最も高いレベルとしての「情報セキュリティ方針」を定め、その下位レベルにおいてトピック固有の個別方針によって支持されることが望ましいとされています。

(個別方針のトピックの例)
a) アクセス制御(箇条9 参照)
b) 情報分類(及び取扱い)(8.2 参照)
c) 物理的及び環境的セキュリティ(箇条11 参照)
d) 次のような,エンドユーザ関連のトピック
 1) 資産利用の許容範囲(8.1.3 参照)
 2) クリアデスク・クリアスクリーン(11.2.9 参照)
 3) 情報転送(13.2.1 参照)
 4) モバイル機器及びテレワーキング(6.2 参照)
 5) ソフトウェアのインストール及び使用の制限(12.6.2 参照)
e) バックアップ(12.3 参照)
f) 情報の転送(13.2 参照)
g) マルウェアからの保護(12.2 参照)
h) 技術的ぜい弱性の管理(12.6.1 参照)
i) 暗号による管理策(箇条10 参照)
j) 通信のセキュリティ(箇条13 参照)
k) プライバシー及び個人を特定できる情報(以下,PII という。)の保護(18.1.4 参照)
l) 供給者関係(箇条15 参照)

これら個別方針に関しては、それぞれの管理策で対応されていることとなり、それぞれがA.5.1.1での以下の事項を踏まえていれば問題ありません。
・発行する前に管理者が承認すること。
・従業員、関連する委託業者や顧客などの外部関係者にも知らせること。

ちなみに、ISO/IEC 27002:2013 の「関連情報」の中で、内部方針の必要性は「組織によって異なり、大規模で複雑な組織等において特に有用」と書かれており、また情報セキュリティのための方針は「単一の「情報セキュリティ方針」文書として発行することも、互いに関連のある一連の個別文書として発行することもできる。」とも書かれています。

よって、審査員の方がどのような意図で指摘されたのかが分かりませんので、的確な回答かどうかは分かりませんが、考えられる対応策の1つとしては、自社に該当する個別方針に関して、「B07 情報セキュリティ運営管理規程」の「11 情報セキュリティマネジメントシステムの計画」及びそれらに関連する規定にて、A.5.1.1に対応する措置を追記する方法も考えられます。