情報セキュリティ管理規程とは

組織で取り扱う情報のセキュリティを保護するために定められたルールをまとめた文書です。

ISO270001（ISMS）と情報セキュリティ管理規程

ISO27001(ISMS)では情報セキュリティに関する管理策について93の要求項目があります。
組織でその管理策を適用とする場合、組織の状況に置き換えて管理策を規定する必要があり、それが情報セキュリティ管理規程です。
組織によっては情報セキュリティ規程など、名称も独自に決定できます。

情報セキュリティ管理規程と運用記録

組織で適用・非適用となる管理策は適用宣言書で明示します。言い換えれば適用宣言書が改訂された場合には情報セキュリティ管理規程も見直す必要があるということです。
また、情報セキュリティ管理規程が改訂された場合には組織で運用した結果の記録も変更となる可能性があります。
特に影響するのは情報リスクアセスメントの記録と内部監査のチェックリストです。
情報リスクアセスメントに記録されている管理策や所有者またはリスク値、内部監査ではチェック項目も変更となる可能性があるので、規程が変更になった場合には、帳票あるいは運用結果の記録も規程と合致しているかどうかを見直しましょう。

まとめ

情報セキュリティ管理規程は組織が守るべきルールが網羅されており、従業員が特によく閲覧する規程になるものです。
改訂した際には、その後の運用が改訂後のルールに沿っているかどうかも点検や内部監査などで見直すようにしましょう。