情報セキュリティ方針とは

ISO27001（ISMS）におけるマネジメントシステムの方針のことです。マネジメントシステムを構築するにあたって一番初めに策定するものです。

ISO27001（ISMS）と情報セキュリティ方針

情報セキュリティ方針はISO27001（ISMS）の基盤となるとても重要なものです。
策定するのはISO27001を適用する組織のトップであり、組織の目的に適切であること、目的やその設定のための枠組みとなるもの、要求事項を満たすことへのコミットメント、継続的改善を行うことなどを明示することが要求されています。

情報セキュリティ方針を策定したら

情報セキュリティ方針は文書化し、組織内へ伝達し、利害関係者も入手可能であることが必要とされています。

審査で見られるポイント

審査では要求事項が網羅されているかどうか、ホームページの掲載など外部者も見られるようになっているかも見られます。
社長交代や会社名が変更になった場合にも更新されているかどうか確認されますので忘れないようにしましょう。

まとめ

情報セキュリティ方針はISO27001(ISMS)の活動基盤ともなる最重要文書です。
組織内も組織外へも確認ができるようにホームページなどで掲載し、変更があった場合には日付も含めて更新するようにしましょう。