ISMS基本方針と情報セキュリティ基本方針はどこが異なるのでしょうか。
「ISMS基本方針」に関しては、規格4.2.1 b)項に1)~5)として内容の要点が示されています。また、「情報セキュリティ基本方針」は、ISO/IEC27002 5.1.1 情報セキュリティ基本方針文書として、全従業員及び関連する関係者に公表、通知を求めており、内容についてa)~f)項を示しています。分かりにくいですが、これをまず参考にすることです。
規格の本文部分では、「ISMS基本方針」と「情報セキュリティ基本方針」の両方が使用されていますが、情報セキュリティ基本方針を使用しているのは、5章と7章でいずれも経営陣に関わるところです。 「ISMS基本方針」と言い換えても問題はないと言われています。一方、「情報セキュリティ基本方針」は、管理策にしか登場しません。
ISO/IEC27001規格の本文でも「情報セキュリティ基本方針」と表記されているところがあるので分かりにくいですね。 両者の違いや取扱の手助けとなることを意図した規格4.2.1 b)項の注記「この規格の目的のために、ISMS基本方針は、情報セキュリティ基本方針を包含する上位概念とする。」とあります。この「上位概念」が如何様にも解釈でき、理解の壁を高くしているようです。
「情報セキュリティ基本方針」は、情報セキュリティに関する基本方針ですから、多くの会社には、「実はある」と思います。「ISMS基本方針」の方は、例えばISO/IEC27001規格というマネジメントシステムを活用して、「情報セキュリティ基本方針」に示された内容をマネジするときの「基本方針」と言うことでしょうか。ISO/IEC27001規格を参考にしない企業の場合は、その会社の経営(システム)でマネジしていると考えます。
経営方法の問題ですから、規格は、「ISMS基本方針」文書の開示は要求せず、「情報セキュリティ基本方針」文書についてのみ開示することを求めていると思います。しかし、「情報セキュリティ基本方針」に関しても、内容を開示する事で、会社としてリスクを増やす(手の内を見せる)ことがないような開示文書としなければなりません。
だから、わざわざ開示を要求しているA.5.1.1は、「文書」という表現となっており、A.5.1.2の方はレビューですので、「文書」という表現がないのではないかとおもいますが、本文での使用の混乱を考えると、たまたまかも知れません。(笑い)
0 件のコメント:
コメントを投稿