ISMSの基本方針

ISMS/ISO27001の規格では、情報セキュリティマネジメントシステムを確立するにあたり、
基本方針を策定することを求めています。
この基本方針には、ISMS基本方針と情報セキュリティ基本方針の2種類があります。

ISMS基本方針と情報セキュリティ基本方針の違い

ISMS基本方針は、情報セキュリティマネジメントシステムを構築するにあたり、
抱負、ビジョンなどの意思表示、決意表明です。
それに対して、情報セキュリティ基本方針は、情報セキュリティマネジメントシステムを
どんな体制で実現していくのかということをより具体的に示します。
これらの方針は、1つの文書に記載することができます。
ISMS基本方針については、2013年度の秋に改訂される規格にはなくなり、
基本方針は「情報セキュリティ基本方針」でまとめられています。

基本方針策定のポイント

情報セキュリティ基本方針は、会社の情報セキュリティに対する考え方、方向性、指針になり、
経営方針と整合がとれていることが大切です。
情報セキュリティ基本方針の必要性として、明確な指針を示さなければ、
従業員がどう取り組めばよいか、行動すればよいかが分からないため、非常に重要な役割を担います。

基本方針で考慮すべき点

情報セキュリティ基本方針を策定する上で、考慮すべき点は以下の3点です。
・事業上、順守すべきことを守る
・法令違反をしない
・契約上のセキュリティ義務を守る

その他必要事項

その他、会社の情報を守るために、どんな情報がありその情報に対して、
どんなリスクがあるのかを分析する基軸を示す必要があります。
そして、最終的に経営者の承認が必要です。

上記内容で、基本方針を策定してから、ISMSを構築が始まります。
そのため、まずは基本方針の策定から始まりますので、非常に重要なプロセスです。

もう既にISMSを取得されている会社様も、定期的な見直しをするタイミングで、
基本方針が従業員にとって行動指針になっているかどうか、今一度見直しをしてみては如何でしょうか。