ISMSでは、情報セキュリティマネジメントを構築するにあたり、情報セキュリティ基本方針の策定を求められます。

基本方針は、日々見直しを行わなければならない上、企業HPを保持している場合はHP上に掲載することを推奨されるため、なかなか面倒なものと思われている方、多いかと思います。

では、なぜそもそも基本方針は策定する必要があるのでしょうか？

情報セキュリティ基本方針に記載しなくてはならない内容

情報セキュリティ基本方針に記載する内容は大まかに分類して2種類あります。

1つ目は、情報セキュリティマネジメントを構築するにあたり、目的を明確にするということ。

2つ目は、情報セキュリティマネジメントをどのような体制で実現していくのかということ。

言ってしまえば、所信表明のようなものですね。

情報セキュリティマネジメントを構築するのはなぜなのか。そして情報セキュリティを適切に運用するためにどのような体制をとるのか。

これらを表明することにより、取引先やエンドユーザ様は貴社の情報セキュリティに対して信頼を置くのです。

また、この基本方針を示すことにより従業員がどのように取り込むか、行動するのか、その指針にもなります。

このように、情報セキュリティマネジメントにおけるすべての指針となるこの「基本方針」は、情報セキュリティを構築する上でとても重要な役割を担っています。

情報セキュリティ基本方針策定時の注意点

情報セキュリティ基本方針を策定する上で要求されていることは要求事項（付属書）をご確認いただくとして、注意するべきことは、「組織の目的に対して適切であること」また、「継続的改善」ですね。

企業には経営方針というものがあります。基本方針は経営方針と整合性が取れていなければなりません。

経営方針はその企業が進む方向を示したものですので、この経営方針と基本方針の整合性がなければ、情報セキュリティを構築する意味がありません。

経営をサポートするためのセキュリティ方針が経営を妨害しては意味がありませんからね。

また、情報セキュリティ基本方針は一度決めたらそのままずっと同じ方針であり続けるわけではありません。

新たな業務を始めた、経営方針を変更した、より強固なセキュリティ体制を構築することになった、情報セキュリティインシデントが発生してしまった…などなど。

経営状況に留まらず、社会の動きやセキュリティに対する意識等、企業を取り巻く情勢は常に流動しています。

その為一度策定した基本方針を10年、20年と使い続けられるわけはありません。

貴社にてすでに基本方針が策定されている場合、社員の行動方針となっているか、経営方針と整合性が取れているかなど、今一度見直してみてはいかがでしょう。

また、社員の方も時々見直してみると、ウチの会社はこういう方針なのか！と新たな発見があったり、案外誤字を見つけてしまったりと、ちょっとした宝探し気分を味わえるかもしれません(笑)。