教育・研修管理規定に「雇用期間中」および「経営者の責任」が定めらている理由は?
ありがとうございます。
教えていただきたいのですが、「教育・研修管理規程」に「3 雇用期間中(A.8.2)」および「3.1 経営陣の責任(A.8.2.1)」の定めが含まれているのはどういう理由からでしょうか。
規定している内容が特に教育に関することではないように思うのと、「人的セキュリティ管理規程」の方に”雇用前”と”雇用の終了”に関する規定があるので、”雇用中”の規定として、上記ふたつもこちらに入れた方が一連の雇用の流れとして整理できるのではないか、と思ったためです。
よろしくお願いいたします。
まず始めに、ご質問にある事項に関して、以下に弊社としての理由を書かせていただいておりますが、ISMS文書において何をどの文書に記述(規定)するかを自由となっております。
ご指摘にありますように、ISMS文書(マニュアル、規程書、様式など)は、御社が運用し易い様に修正されるのが、一番だと思います。
JIS Q 27001 対応の改訂時の際、”A.8.1 雇用前”、”A.8.2 雇用期間中”、”A.8.3 雇用の終了又は変更”は、一連の流れでもあり、「人的セキュリティ管理規程」にまとめて入れることも考えました。
ですが、”A.8.2”に”A.8.2.2 情報セキュリティの意識向上、教育及び訓練”が入っていることが気に掛かり、”A.8.2”は全体的に教育を絡めた要求ではないかと考え、「教育・研修管理規程」に入れました。
なお、最初は”A.8.2.3 懲戒手続き”も含め”A.8.2”の全てを「教育・研修管理規程」に入れようとも考えたのですが、懲戒関係については、構築パッケージの改訂前から、「人的セキュリティ管理規程」に入っており、また「教育・研修管理規程」には、あまりそぐわないのではないかとも思い例外的に取扱っております。
ご指摘のとおり、確かにそうだと思います。
”A.8.2”、”A.8.2.1”を、「人的セキュリティ管理規程」に入れるのも良いかと思います。
適切でもあり、また整理もできるかと思います。
次回の改訂の際、ご参考にさせていただきたいと思います。
お世話になります。
A15.3で要求されているシステム監査についてお尋ねします。
対応は、システム監査を要求される場合の対応と理解すればよいのでしょうか?
要求する相手は…