３．用語の定義

番外１．　情報セキュリティポリシー

　日本規格協会(JIS)訳、JIS版ともに「ISMSの基本方針」と表現している語です。JIS訳、JIS版ともに”個別方針”（例：クリアデスクの方針、アクセス制御方針、暗号に関する方針）と区別するために、勝手に”基本”方針と表現したわけですが、原文では、”基本方針”も”(個別)方針”も両方とも単に”policy”と表現されています。
　もっと正確に言うと、JISが「基本方針」と表現しているものは原文では必ず”security policy (セキュリティポリシー)”又は”ISMS policy”、JIS/JIPDECの「(個別)方針」にはsecurity やISMS が付かない形で書かれています。

　規格協会の「区別するため」という気持ちはわかりますが、「基本方針」と言ってしまうと「品質方針や環境方針の様に１枚ペラのもので、飾っておくもの」という誤解をどうしても避けられません。元々ISOだのBSだの言う以前から情報セキュリティの世界では、『どうやって達成するかは置いておいて、情報セキュリティ上達成したいレベル』をまとめて10〜50ページくらいに書いたものを情報セキュリティポリシーと呼んでいて、ISO27001はそのようなものを指すつもりで”policy”と書いてあるのです。
　つまり感覚的にとらえれば、ISO9001の品質方針よりは品質マニュアルに近いものが”security policy (セキュリティポリシー)”であるという事になります。

　このため、当”日常語ISO27001”サイトでは、区別する事、誤解を招かない事の両方を目指して、原文の直訳的に表現する事にします。

　　　　ISO27001原文　　　　　　　　　当サイト　　　　　　　　　　　　　JIS　　　　
　　　　security policy　　＝　（情報）セキュリティポリシー　＝　基本方針　
　　　　　** policy　　　　　＝　　　　＊＊ポリシー　　　　　　＝　　　方針　　


　情報セキュリティポリシーは、「情報セキュリティ上こうするのが望ましいんだけど、決まっていないからなぁ。」という事が無い様にするために取り決める、というのが基本です。例えば、会社から私用でWebページを見る事についてはどうでしょうか。「情報収集の為にある程度認める」会社もあるでしょうし、「休憩時間に限って認める」会社もあるでしょうし、「不正プログラムが危険なので無条件で禁止」の会社もあるでしょうが、しっかりした情報セキュリティマネジメントシステムを持っていないところでは、ハッキリしていないのが普通ではないでしょうか。その様な事を、一つ一つ決めて、まとめて書いたものを『情報セキュリティポリシー』というわけです。
　但し、品質マニュアルとは違って、何か管理している事を全て書く必要はありません。「会社の考え」としておおもとになる事が書かれていれば、結果的にそれ以上に管理している事柄は書かれていなくてもよいのです。品質マニュアルに書かなければならない
　　・規格文に書かれている事で除外している事柄
　　・管理の手だては何という文書に書いたかという事
は、適用宣言書に書く事になっています。
　ですから、情報セキュリティポリシーと適用宣言書を合わせると、品質マニュアルにだいたい相当することになります。

　認証機関や審査員によっては、規格には「一枚ペラの、品質方針タイプのセキュリティポリシーは許さない。」とは書いていないと、認められる事も実際にあるようです。「それは何が何でも間違いだ」と主張するつもりはありませんが、それはISO27001の考えているものとは違うものです。話しを単純にするためにも、当サイトではその様なものは許されないという事にして、話しを進めます。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ