5.1情報セキュリティのための方針群

5.1情報セキュリティのための方針群とは？

ISO 27001:2022の管理策「5.1情報セキュリティのための方針群」とは、本文「5.2　方針」で求められる方針を含む各種方針の策定、承認、レビューについての管理策であり、組織の情報セキュリティに関する方向性を適切に示すことを目的としています。

方針とは、具体的には、通常「5.2方針」で要求される最上位方針である所謂「基本方針」と、アクセス制御や資産管理といった個別の論点における方針（以下「個別方針」）を指しています。

個別方針は、「〇〇方針」という名称の文書である必要は無く、その論点における方向性を示す内容であればどのような名称でも構わないとされています。実態上は、「〇〇規程」といった形で実装されることが多いです。

また、基本方針はトップマネジメントによる承認を求めていますが、個別方針の承認者はトップマネジメントである必要は無く、各論点に関連するマネジメント層（例えば〇〇部長等）でも可としています。

不採用の可能性があるか？

管理策の内容的に不採用とする理由が見当たらないため、全ての組織において採用されるべき管理策と考えられます。