ISMSで作成する文書についてご存じですか?
情報セキュリティを管理するためのシステムである、ISMS。
ISMS規格では、様々な文書を作成することが要求されています。
今回の記事では、
- 文書化した情報ってなに?
- どこまで文書にしないといけないの?
- ISMS文書を作成する時のポイントは?
という内容を解説していきます。
目次
- 1 文書化した情報とは?
- 2 ISMSで文書化要求がある項目
- 3 文書化が要求されている項目のそれぞれの書き方
- 3.1 1. 情報セキュリティマネジメントシステムの適用範囲(4.3)
- 3.2 2. 情報セキュリティ方針(5.2)
- 3.3 3. 情報セキュリティリスクアセスメント(6.1.2)
- 3.4 4. 情報セキュリティリスク対応(6.1.3)
- 3.5 5. 情報セキュリティ目的およびそれを達成するための計画策定(6.2)
- 3.6 6. 力量(7.2)
- 3.7 7. 文書化した情報の管理(7.5.3)
- 3.8 8. 運用の計画および管理(8.1)
- 3.9 9. 情報セキュリティリスクアセスメント(8.2)
- 3.10 10. 情報セキュリティリスク対応(8.3)
- 3.11 11. 監視、測定、分析および評価(9.1)
- 3.12 12. 内部監査(9.2)
- 3.13 13. マネジメントレビュー(9.3)
- 3.14 14. 不適合および是正措置(10.1)
- 4 おわりに
- 5 ISMS取得のご相談ならオプティマ・ソリューションズへ!
文書化した情報とは?
「文書化した情報」とは、簡単に言うと「書類や記録のこと」です。ISO 27001のような規格では、組織がきちんと情報を管理していることを証明するために、いろいろなことを文書にまとめておく必要があります。なお、文書、という表現がされますが、画像や動画、音声記録などで保存しても構いません。
ISMSで文書化要求がある項目
規格本文において、文書化が明確に要求されている14の項目をリストアップします。
文書化が要求されている項目一覧
4.3 情報セキュリティマネジメントシステムの適用範囲
ISMSの適用範囲は文書化され、利用可能な状態でなければなりません。
5.2 情報セキュリティ方針
情報セキュリティ方針は文書化され、組織内で利用可能である必要があります。
6.1.2 情報セキュリティリスクアセスメント
情報セキュリティリスクアセスメントのプロセスは文書化されている必要があります。
6.1.3 情報セキュリティリスク対応
情報セキュリティリスク対応のプロセスについて文書化されている必要があります。
6.2 情報セキュリティ目的およびそれを達成するための計画策定
情報セキュリティ目的とその達成のための計画が文書化されている必要があります。
7.2 力量
力量の証拠として適切な文書化された情報が保持される必要があります。
7.5.3 文書化した情報の管理
ISMSの計画と運用に必要な外部の文書化情報は適切に特定・管理される必要があります。
8.1 運用の計画および管理
プロセスが計画通りに実施されたことを確認するために必要な文書化された情報を保持する必要があります。
8.2 情報セキュリティリスクアセスメント
情報セキュリティリスクアセスメントの結果は文書化されている必要があります。
8.3 情報セキュリティリスク対応
情報セキュリティリスク対応の結果も文書化されている必要があります。
9.1 監視、測定、分析および評価
監視および測定の結果の証拠として文書化されている必要があります。
9.2 内部監査
監査プログラムと監査結果の証拠として文書化されている必要があります。
9.3 マネジメントレビュー
マネジメントレビューの結果は文書化されている必要があります。
10.1 不適合および是正措置
不適合の性質、取った処置、是正措置の結果について文書化されている必要があります。
ISMS文書作成時のポイント
ISMS文書を作成する際のポイントは、内容を具体的に記述することです。
手順を実行、つまりISMSを運用する時に、
- 何をしなければいけないのか
- 禁止事項は何か
ということを、従業員が明確に理解できるようにしましょう。具体的に記述しておくことで、手順を間違いなく実行することができます。
文書化が要求されている項目のそれぞれの書き方
1. 情報セキュリティマネジメントシステムの適用範囲(4.3)
この項目は、ISMSがどこまで影響するかをはっきりさせて、文書にしておくことです。会社名、住所、どんな業務をするかを書いたり、フロア図やネットワーク図などを使って範囲をわかりやすく説明します。
例文:
「当社のISMSは、東京都渋谷区の本社オフィスと、すべての関連するITシステム、データセンターを対象とします。この範囲には、顧客データの管理と、内部の業務プロセスが含まれます。また、適用範囲を明確にするために、オフィスフロア図とネットワーク図も用意しています。」
2. 情報セキュリティ方針(5.2)
この項目は、会社がどのように情報を守るかの基本的な考え方をまとめたものです。この方針は文書にしておき、社員が見られるように社内のドキュメントとして保存したり、会社のウェブサイトに公開して、誰でもアクセスできるようにすることが多いです。
3. 情報セキュリティリスクアセスメント(6.1.2)
この項目は、リスクをどうやって評価するか、その手順や方法を具体的に書いておくことです。ここで大事なのは、リスクアセスメントの結果を記録することではなく、その評価方法や手順そのものを文書化することです。多くの会社では、運用規程の中にその手順を書いたり、リスク管理に関する規程を別に作成しています。
4. 情報セキュリティリスク対応(6.1.3)
この項目は、特定されたリスクに対してどのように対応するか、その手順を具体的に書いておくことです。リスクアセスメントと同じように、プロセスや手順を明確に文書化することが重要です。さらに、この項目では「適用宣言書」の作成も求められており、実質的に2つの文書が必要になります。
5. 情報セキュリティ目的およびそれを達成するための計画策定(6.2)
この項目は、会社が達成したい具体的なセキュリティ目標を明確に書いておくことです。この目標は、「情報セキュリティ方針」の一部として記載することもあれば、別に「目的管理表」として管理する場合もあります。管理方法は組織によって異なりますが、重要なのは、これらの目標が文書化され、達成状況を確認できる状態にしておくことです。
6. 力量(7.2)
この項目は、社員が必要なスキルや知識を持っていることを証明する記録を保管することです。例えば、教育実施記録やテスト結果、eラーニングを使っている場合はその結果をそのまま文書化した情報として提示することも可能です。どのような記録を保管するかは、組織が力量をどう定義しているかによって異なります。
例文:
「当社では、社員の力量を確保するために、以下の証拠を文書化して管理しています。例えば、セキュリティ研修を受講した社員の教育実施記録や、eラーニングツールでのテスト結果が該当します。また、特定の役職には〇〇資格が必要であり、その証明書も力量の証拠として保管されています。」
7. 文書化した情報の管理(7.5.3)
この項目は、ISMSの計画や運用に必要な外部からの情報(例えば、法律や規制の文書、ベンダーからのマニュアルなど)をしっかりと特定し、それを適切に管理することを指します。これらの外部文書も、他の文書と同様にアクセスできる状態で維持し、必要に応じて更新や確認ができるようにする必要があります。
8. 運用の計画および管理(8.1)
この項目は、あらかじめ立てた計画通りに仕事やプロジェクトが進められたことを証明するための記録を文書にして残しておくことです。これは、「計画通りにやりましたよ」という証拠として使われます。例えば、年間計画表で進行状況を管理したり、各タスクの成果物を証拠として保存することなどがあります。また、最近ではタスク管理ツールを使って、このような証拠をデジタルで管理することもあります。
9. 情報セキュリティリスクアセスメント(8.2)
この項目は、リスク評価のプロセスに基づいて得られた結果や発見されたリスクの詳細を記録し、保存しておくことを指します。これは、実際にリスクアセスメントを行った後、その結果がどうだったのかを明確に示すためのものです。一般的には、リスク管理表などの形式でこの記録を作成します。
10. 情報セキュリティリスク対応(8.3)
この項目は、特定されたリスクに対してどのような対応が行われたか、その結果を記録しておくことです。これは、6.1.3で決めたリスク対応プロセスに基づいて実施された具体的な対応の結果を文書化することを意味します。一般的には、リスク管理表に対応結果を追記したり、対応計画書を作成して管理したり、タスク管理ツールで管理したタスク自体を記録として使います。
11. 監視、測定、分析および評価(9.1)
この項目は、規格で求められていることがきちんと実施されたことを証明するための記録を残すことを指します。これらの記録は、組織の情報セキュリティマネジメントシステム(ISMS)の有効性を示す証拠として使われます。一般的には、パフォーマンス指標(KPI)を定め、それに基づく結果を有効性評価シートやレポートに記録する方法がよく使われます。
12. 内部監査(9.2)
この項目は、監査の計画や実施内容、結果を記録し、それを証拠として保存しておくことを指します。これは、内部監査が計画通りに実施され、その結果が適切に評価されたことを示すために重要です。一般的には、監査計画書、監査報告書、監査チェックリストなどがこれに該当します。
13. マネジメントレビュー(9.3)
この項目は、経営層が定期的にISMSのパフォーマンスを評価し、必要な改善策を検討したことを証明するために必要です。マネジメントレビューの記録や、レビュー時の議事録を作成して保管することが一般的です。
14. 不適合および是正措置(10.1)
この項目は、不適合が発生した際に、その問題の性質や原因、講じた是正措置、そしてその結果がどうだったかを記録し、証拠として保存することを指します。これにより、組織が問題にどのように対応したか、そしてそれが効果的だったかを後から確認できるようにします。一般的には、是正処置管理表として、不適合の内容からその対応策までを一括で管理する記録が作成されます。
おわりに
今回は、ISO 27001規格の本文で文書化が求められている項目について整理しました。しかし、これらの項目だけを文書化すれば十分というわけではありません。少なくともこれらの必須項目に該当する文書を整備する必要がありますが、それ以外の項目についても、状況に応じて証跡を準備しておくことが重要です。
また、現在作成している文書や記録が本当に必要な要件を満たしているか、または過剰に複雑になっていないかを見直すことも大切です。これにより、効率的かつ効果的な文書管理が実現し、ISO 27001の認証維持がよりスムーズになるでしょう。定期的な見直しを行うことで、文書管理の適切性と効率性を高めることができるかもしれません。
ISMS取得のご相談ならオプティマ・ソリューションズへ!
ISMS文書には種類や、作成しなければならないものが多いので、とても複雑です。
弊社は創業後の20年間で3,500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。
