FAQ よくある質問
Q1.
どうして、Standard(規格協会訳上の”規格”)上の「ISMS基本方針」も「情報セキュリティ基本方針」も
「情報セキュリティポリシー」と扱われているのですか?
まず、両方の語句を意味を変えないで変換していって見ましょう。
情報セキュリティ基本方針 ISMS基本方針
↓ ↓ (原文には”基本”とは書いてありません)
情報セキュリティポリシー ISMSポリシー
↓ ↓ (ISMSを略さないで言ってみます)
情報セキュリティポリシー 情報セキュリティマネジメントシステムポリシー
↓ ↓ (マネジメントシステムを日常語にします)
情報セキュリティポリシー 情報セキュリティを図る仕組みのポリシー
だいたい予想がついた事ですが、ほとんど同じです。”図る仕組み”自体にはあまりポリシーがないのが普通でしょうから、情報セキュリティポリシーもISMS基本方針も情報セキュリティ基本方針も実質的にはほとんど同じものとなります。
逆に考えて、情報セキュリティポリシーとISMSポリシーに食い違いがあるというのは許されそうにありません。
そうなってくると、ほとんど同じ役割の文書が会社に2つ在るというのは、「節約して一つにした方がよい」ものという事になります。強い言い方をすれば、「無駄」という言い方もできるでしょう。
「別物であっても兼ねさせた方が良い」モノですから、物事をなるべく簡単に説明する為にややこしい説明を省いて、最初からひとつで説明しています。(多少表現に厳密な正確さを欠いたりする事があっても、簡単に分かってもらえる様にすることが日常語ISOのコンセプトのため)
日本国内では、JNSA(日本ネットワークセキュリティ協会)のサンプル文書が、 セキュリティ方針+セキュリティ対策基準=セキュリティポリシー という構造にしている事もあるためか、似た様な名前の2つの文書を持つ事に違和感が薄い様ですが、世界的にはおかしい様子です。
注:JNSAのサンプル文書は、BS7799-2やISO27001を意識したものではありません。
ISO27001発行前の話ですが、世界各国でISMS審査に飛び回っているイギリス人審査員の一人に、これについてどう思うか聞いてみたところ。「(一つの会社に情報セキュリティポリシーとISMSポリシーがあるなんていう事は)あり得ない。重大不適合だ。」と怒り出してしまいました。 (怒られても困る)
彼の考え方によれば、まずそんな例は聞いた事がないというのが基本です。その上で、個別方針は別として基本方針的な文書が複数あったのでは首尾一貫しなくなるおそれが強すぎるとの判断でした。付け加えて、「そんな似た名称の文書が会社に2つあったのでは、一般社員に違いが理解出来ないだろう。理解出来たとしても、そんな無理を社員に押しつけるマネジメントシステムというのは『あり得ない』。理解されないポリシーは、飾り物になってしまって機能しない可能性が高いという面からも到底許容出来ない。そんなバカなマネジメントシステムをStandardが求めるわけはなく、おかしな解釈である。考えたらわかるだろう?」との事です。
(イギリス人は、マネジメントシステムの有効性に重大な影響があると思われる事項は全部”重大不適合”、つまりひとつでもあったら認証に値せず認証不合格、と言う様です。「Standardの1項目がまるごと欠落」という様な基準にはこだわらないで、「それは”例えば”という事だ」と理解するらしいです。)
そこまで言う審査員は彼だけでしたが、他の国際的に活動するイギリス人に聞いてみても「ISMSポリシーと情報セキュリティポリシーを両方持つのはあり得るかもしれないが、実際に見た事はない。もし自分が目にしたら、混同防止の為統合を進言するだろう。」と言っていました。
社内で混乱が発生する事を避けたいなら、この2つ(?)は兼ねさせる事を強く推奨します。
ついでに、同様に「システムセキュリティ責任者」「システム管理者」「システム担当者」「セキュリティ担当者」などの役割の名称で、一般社員の人が聞いた時ににわかに違いがわからない役名を複数使っている会社をよく目にします。一般社員が聞いて、感覚的にわかる様な名称にしておかないと困りますよ。
例: 「情報セキュリティ統括責任者(又は管理責任者)」
「全社システム管理者」
「部署システム管理者」 などという使い方にすれば、役割がだいたい想像出来ます。
他にも、例えば文書名で「基準」と「標準」はどっちが上なんだ?とか、 「規定」は「規程」の上位に位置するとか、混乱を招く使い方は避けましょう。
目次へ 全体のトップへ 表示色の原則
