業務がないため、規程せずに、管理策を適用除外とする。
「ISMSサンプル文書集 規程カスタマイズ一覧表.xls」に以下の表現があります。
①・・・ため、適用外とする。例:遠隔作業の業務はないため、適用外とする。
②・・・ため、不適用とする。例:現状では、パッケージソフトウェアを使用しているため、不適用とする。
③(ない場合は、該当箇所を削除)例:電子商取引
1.①適用外と②不適用の違いは何でしょうか?
2.①「ないため適用外にする」と③「ないため削除する」はどちらも「やってないためxxする」という意味では同じと思われますが、適用外にするのと削除するの違いは何でしょうか?やってないものは全て削除するという方針はダメなのでしょうか?
「社内の会議では、やっていないものを規程として作成する必要があるのか?」との意見が出ております。
ただ、要求事項として、附属書Aに規定された管理策の中で適用除外とした管理目的及び管理策、並びにそれらを適用除外とすることが正当である理由が必要であるということは認識しておりますので、規程としては作成せず、適用宣言書にて適用性をN/A、理由を「~の業務がないため適用外とする」というのは推奨できないでしょうか?
よろしくお願いします。
まず、ご指摘の「適用外とする。」、「不適用とする。」、「削除する」は、全て同じ意味となります。
表記としては、「~の業務がないため適用外とする」が適切です。
弊社の記述表現のブレですね。
申し訳ありませんでした。
「全てを削除するという方針」については、全てを削除してしまうとその項目を適用除外した旨が分かり辛くなり、審査員から「記述が無い」と言われる可能性もあります。
よって、全てを削除するのではなく、「~の業務がないため適用外とする」と記述した方が良いかと思います。
なお、規程として作成しない件に関しましては、お客様がどのような業務をされており、適用除外とするための正当な理由がどのようなものであるか分からないため、判断がつきかねますが、御社としてそのように考えられ対応するのであれば、問題は無いかと思いますが、もし不安なようであれば、一度、審査機関にご質問されて見てはいかがでしょうか?
