ISMSの土台でもある規格、JIS Q 27001の附属書Aの5章で「情報セキュリティのための方針群」という言葉が登場します。一方で、JIS Q27001規格本文の5章では「方針」という言葉が登場します。
「方針」と「方針群」何が違うのか、規格を読み解いていく上で、この言葉の意味の違いを理解することは大切です。

そこで今回は、規格をより分かりやすくするために、「方針群」とはいったい何を指しているのか考えていきたいと思います。

「方針」と「方針群」

「方針」とは

ISMS規格の用語集であるJIS Q 27000では文書化した情報について以下の記載があります。

3.53
方針（policy）
トップマネジメント（3.75）によって正式に表明された組織（3.50）の意図及び方向付け。

JIS Q 27000：2019より引用

つまり方針とは、組織として目指す方向性を示したものと言えます。
ISMSにおいては情報セキュリティの目指す方向性が方針にあたることになります。

「方針群」とは

方針群とは、言葉の通り方針の集まりと考えることができます。ただし、方針の集まりといわれても、上記の情報セキュリティ方針は一つしかありません。では、ここで指している方針たちは何を指しているのでしょうか。一つの回答としては、情報セキュリティの中でもさらに各テーマごとの方針が考えられるということです。

情報セキュリティといっても、以下のような様々な取り組みや分野が集まっています。

• 情報資産の取扱いについて
• アクセス制御、アクセス権について
• バックアップについて
• 委託先の管理について

もちろん上記だけでなく、他にも数多くのことについて検討するべき要素が集まっています。最近だとテレワークについての方針なども考える機会が増えているのではないでしょうか。

つまりISMSで指している方針群とは、情報セキュリティに関する様々な取り組みや分野に関するそれぞれの方向性の集まりととらえることができます。

方針と方針群の関係性

関係性を図に表すと以下のような表現になります。

ISMSにおける方針群とは、情報セキュリティ方針のもとに様々な分野についての個別方針がまとまったもののことであり、このような形で上下の関係にあるものと言えます。

まとめ

今回の記事では、「方針」と「方針群」について整理してきました。
「方針群」とは、情報セキュリティ方針という組織の大方針と、その大方針に向かっていくための個々の方針の集まりたちであるということです。

規格では、似たような言葉がよく出てくることもあり、この違いをとらえることは規格を理解することの第一歩になります。今回の記事をはじめ、ISMSブログでは今後も規格を理解していくための入口としていただけるような記事を作成してまいりますので、ご参考にしていただければ幸いです。