Q:ISMS基本方針と情報セキュリティ基本方針がありますが 別けて作成する必要がありますか?
ISMS基本方針と情報セキュリティ基本方針は意味が異なります。 ISO27001の4.2.1の中に。参考として「ISMS基本方針は、情報セキュリティ基本方針を含むものとみなす。これらの方針は、一つの文書の中に記載することができる」とあります。したがって、文書として一つでもかまいません。一般的に「ISMS基本方針書」の中に「情報セキュリティ基本方針」という項目を設けているケースが多く見られます。
まず、規格要求事項で言えば、@「ISMS基本方針」は、4.2.1“ISMSの確立”b)で出てくるもの、A「情報セキュリティ基本方針」は、付属書A.5.1に出てきるものです。 次に、「ISMS(情報セキュリティマネジメントシステム)基本方針」は、経営の仕組みとしての方針であるのに対して、「情報セキュリティ基本方針」は、各種セキュリティ対策に対する方針です。そういう意味では、2つは違います。 しかし、別けて作成しなさいと要求しているわけではありませんから、1本化したもので構わないといえます。もっと言えば、「品質方針」とあわせて作成してもかまわないでしょう。
情報セキュリティ基本方針というものがどのような内容なのかがわからないが、ISMS基本方針が情報セキュリティをどのようにマネジメントするのかについて宣言するものであることを考えれば、ISMS基本方針の上位に別の情報セキュリティに関する方針が存在することは考えにくい。また、ISMS基本方針の下位に詳細な情報セキュリティに関する方針が存在する場合であっても、ISMS基本方針と整合性がとれていることが保証される必要があるだろう。
基本的には別物ですが、同じもので対応可能です。ISMS基本方針は4.2.1 a)に基づき構築してください。
(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)
この情報を登録しますか?
コメント: (スタイル用のHTMLタグが使えます)
ISMS基本方針と情報セキュリティ基本方針は意味が異なります。
ISO27001の4.2.1の中に。参考として「ISMS基本方針は、情報セキュリティ基本方針を含むものとみなす。これらの方針は、一つの文書の中に記載することができる」とあります。したがって、文書として一つでもかまいません。一般的に「ISMS基本方針書」の中に「情報セキュリティ基本方針」という項目を設けているケースが多く見られます。
まず、規格要求事項で言えば、@「ISMS基本方針」は、4.2.1“ISMSの確立”b)で出てくるもの、A「情報セキュリティ基本方針」は、付属書A.5.1に出てきるものです。
次に、「ISMS(情報セキュリティマネジメントシステム)基本方針」は、経営の仕組みとしての方針であるのに対して、「情報セキュリティ基本方針」は、各種セキュリティ対策に対する方針です。そういう意味では、2つは違います。
しかし、別けて作成しなさいと要求しているわけではありませんから、1本化したもので構わないといえます。もっと言えば、「品質方針」とあわせて作成してもかまわないでしょう。
情報セキュリティ基本方針というものがどのような内容なのかがわからないが、ISMS基本方針が情報セキュリティをどのようにマネジメントするのかについて宣言するものであることを考えれば、ISMS基本方針の上位に別の情報セキュリティに関する方針が存在することは考えにくい。また、ISMS基本方針の下位に詳細な情報セキュリティに関する方針が存在する場合であっても、ISMS基本方針と整合性がとれていることが保証される必要があるだろう。
基本的には別物ですが、同じもので対応可能です。ISMS基本方針は4.2.1 a)に基づき構築してください。