ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

安全管理措置を既存の「情報セキュリティ管理規程」で対応することは可能ですか。

02.28.2019 | Pマークサンプル文書集.  227 views

弊社では「情報セキュリティ管理規程」を定めており、こちらで詳細にルール決めをしております。

個人情報取扱及び保護規程内の3.2.3物理的安全管理措置と3.2.4技術的安全管理措置に関する部分は「情報セキュリティ管理規程」に定める(または参照する)として省略できればと考えております。

可能な限り簡素化したいと考えているのですが、省略してしまっても問題ないものなのでしょうか?

ご質問の「個人情報取扱及び保護規程内の3.2.3物理的安全管理措置と3.2.4技術的安全管理措置に関する部分」は、JIS Q 15001規格の「A.3.4.3.2 安全管理措置」の要求事項に対応したものです。

この要求事項には、「安全管理措置に関する管理目的及び管理策は,附属書C を参照。」との記述があり、附属書Cは、JIS Q 27002:2014の箇条5~箇条18 を基に作成されたものです。

よって、ご質問にあります「情報セキュリティ管理規程」にて十分対応可能かと思います。

ちなみに、ご認識されているかとは思いますが、以下の2点にはご留意ください。

  1. 管理策は「6.1.2 d) リスク分析」の結果を踏まえて適宜選択して利用することとなること(リスク分析結果との関連によること)
  2. 「情報セキュリティ管理規程」はPMSの管理文書となるため、文書管理や文書間の整合性など