規格書には、謎のコンビが登場する。
それがISMS基本方針と、情報セキュリティ基本方針だ。
ISMS基本方針は、規格書の「4.2.1 ISMSの確立」の項目で、
どんなふうに定めるべきか書かれているのだが、
最後の注記の所で突然、
見たことも食べたこともないような名前が現れる。↓
「この規格のために、ISMS基本方針は、情報セキュリティ基本方針を包含する上位概念とする。」
(
対訳 ISO/IEC27001:2005(JIS Q 27001:2006)情報セキュリティマネジメントシステム ポケット版より)
それまでの文章に、「情報セキュリティ基本方針」は姿も形も全くなく、ここが初登場となる(と、思う)。
名前だけ聞いたら、似たような名前だし、どっちもおんなじものなんじゃないの?と思ってしまうのだが、
ここに書いてあることを素直に(それこそ直訳解釈で)読む限り、
ISMS基本方針を定めるにあたっての条件が、色々と説明された上での、↑この注記だから、
「ISMS基本方針」が「情報セキュリティ基本方針を包含する」のなら、
「ISMS基本方針」と「情報セキュリティ基本方針」は別物、というふうに考えるのが自然な流れだと思う。
JIPDEC(じぷでっく)というISMSそのものを運用している公益法人(ISMSの認証審査機関を審査する)のFAQ(よくある質問集)にも、
この2つはそれぞれ違うものとして説明されている。
それによると、
・「ISMS基本方針」は、
自分たちが今既にやっている他のマネジメントシステムとか、リスクアセスメント(この言葉については後ほど説明)に対して、今からやろうとしているこの情報セキュリティはどんな性格を持っていて、それらとどんなかかわりがあるのかという位置づけをはっきり記す文書のことらしい。
ISMSの要求していることは、もちろんちゃんと守るよ、という意思をはっきり示し、情報セキュリティについて自分たちが持っている夢(ビジョンとか、今後の展望)について語るものなんだよ、ということが言いたいようだ。
・「情報セキュリティ基本方針」については、
そういうISMS基本方針の夢を受けて、それではこんな体制でそれを実現します、とか、そういう具体的なことを書く文書ということらしい。
ただ、そこまで言っておきながら、よくある質問集で、「組織全体が適用範囲ならこの2つは同等のもの」、なんて言ってしまってるのがすごいと思う。規格書にはISMS基本方針のほうが上位(↑注記↑参照)だって書いてあるのだけれど…。
包みこんで含んでいるなら、含まれている立場より、包み込んでいるほうが大きいから、立場は上じゃないのかなあ…。
ちなみに山口大学情報基盤センターでは、この2つを1つの文書として作成し、認証取得した。つまりはこういうことを言うのかナ??
