こんにちは。私はISMSの事務局を複数社にわたって担い、ルール策定から認証取得・更新をしてきました。今この文章をお読みになっているあなたは、きっとISMS認証取得を考えられている方なのではないでしょうか?
ISMS認証を取得するためには、ISMS(ISO27001)規格に必要な記録文書などを作成、体系化が求められることを知って、不安にもなっているかもしれません。
その不安の通り、文書化が明確に要求されている項目は多岐にわたり、その内容もやや複雑なので、担当者が頭を悩ませるテーマのひとつとなっています。
さらに言うと、ひな形の良し悪しは、認証取得後のISMSの文書管理、PDCAサイクルにも影響し、情報インシデントを防ぐ有意義なものになるか、はたまた形骸化した、ただの紙切れになるか、運命の分かれ道でもあります。
でも、安心してください。この記事にたどり着いたあなたは大変ラッキーです。なぜなら、この記事にはコンサルタントさえ不要になる(?!)ひな形があるからです!
ここでは
・ISMSの関連文書とは?
・ISMSの関連文書の基本的な構成と種類は?
・ISMSの関連文書を作成する際のポイントは?
・ひな形の選び方
・形骸化させないために
という点について、解説します。
ISMSについて改めて確認したい方は、以下の記事も合わせてご確認ください。
目次
ISMSの関連文書とは
ISMS(ISO27001)認証を取得すると、情報セキュリティに関するルールを認証に沿って作成、体系化し、それを運用するためのマネジメントシステムを構築していると認められたことになります。
そしてISMS(ISO27001)規格においては、さまざまな文書を作成することが求められています。
ただ、文書の形式や体系などは指定されておらず、一見すると抽象的な指示に留まっているようにすら思えます。
しかしそれは、形式化した書面に留まらず、今現在、実際に組織で使われているルールを活かして、運用しやすい形で文書を作成するために、あえて指定されていないです。
自社のルールを元にISMSの文書用で適した項目で作成するためにも、その基本となる文書の骨組みをご紹介します。
ISMSの関連文書の基本的な構成
ISMSの関連文書は、以下の4つの文書を基本に作成されることが一般的です。
- 情報セキュリティ方針
- ISMS基本規程
- 適用宣言書
- 安全管理規程
これらを軸にして、証跡として下支えするものに、様式や記録があります。
1は、情報セキュリティの大儀を宣言するもので、公式サイトなどで公表するものです。
2は、自社の説明やISMSにおける言葉の定義、運用基準を記しています。
3は、ISMSの実践しなくてはいけないもののうち、何を実践して何をその必要がないとするかをその理由とともにを記しています。
4は、ISMSのルールを遵守する上での具体的な行動ルールを記しています。
これらの4つの階層は、ISMSの関連文書においては必須とされています。
これらの文書作成にあたっては、形式的なものではなく、従業員が参照・運用しやすい内容にすることが重要です。
ISMSの関連文書の種類
ISMSの関連文書は、大きく分けて以下の2種類に分類されることが一般的です。
- ISMS基本規程の細目を記した様式・記録
- 安全管理規程の実践を証明する様式・記録
それぞれについて、具体的な例を記します。
ISMS基本規程の細目を記した様式・記録
以下に、「ISMS基本規程の細目を記した様式・記録」に含まれる具体的な書類の例を挙げます。
・ISMSの適用範囲や目標を示した書類
具体的にいうと、「ISMS管理体制図」や「情報セキュリティ目的達成計画書」「年間実施計画」などが挙げられます。
自社におけるISMSの適用範囲や、ISMSを通じて、何をどのように/いつまでに実施するかなど、目標遂行のために関連する部署、時期を規定するものです。
・情報資産管理に関する書類
ひな形では、「情報資産目録」がそれにあたります。
自社がどのような情報資産を持っており、それらはどれほど大事な情報で、社内でどのように管理されているか、また、どの範囲まで開示されてもよいものなのかを整理・把握し、それらを見た人が情報資産の内容から価値まで一目でわかるようにしています。
ISMSで大切な「C・I・A」(C=Confidentiality 機密性、I=Integrity 完全性、A=Availability 可用性)をここで明確にする、非常に重要な書類です。
・リスクアセスメントに関する書類
具体的にいうと、「リスク評価シート」をはじめとする、情報セキュリティリスクの「特定」「分析」「評価」「リスク対応」に関する文書・記録などが挙げられます。
ISO27001におけるリスクマネジメントでは、自社の情報リスクを「特定」し、それぞれの情報資産におけるリスクを「分析」「評価」した上で、「リスク対応」を検討することを包括的に「リスクアセスメント」といいます。
・内部監査に関する書類
「内部監査チェックリスト」や「内部監査報告書」などがそれにあたります。
構築したマネジメントシステムが、ISO27001の要求事項に適しているか、有効に機能しているかを自社内部で確認するのが「内部監査」です。
この内部監査を実施するにあたっては、記録を残す必要があります。
チェックリストと合わせて保存すると、次回の内部監査実施時に比較がしやすくなります。
・マネジメントレビュー
内部監査の結果や推進状況を鑑み、トップマネジメントが現状のISMSを判断し、修正点や改善点があれば指摘し、記録に残します。
安全管理規程の実践を証明する様式・記録
次に、「安全管理規程の実践を証明する様式・記録」に含まれる書類の例を挙げます。
こちらはより具体的な運用施策に関する文書となります。
・情報の取扱いに関する書類
具体的には、「可搬型外部記録媒体管理表」「機密情報授受表」「出入口解錠施錠記録」などが該当します。
業務にあたって、情報をうかつに取り扱うことがないように記録を付けたり、人の出入りを物理的に管理し、それを文書化します。一般の従業者にはもっとも身近で日常的に使う書類とも言えます。
・委託先管理に関する書類
具体的には、「委託先管理台帳」が挙げられます。
ISO27001において、情報資産を第三者に渡す場合は、委託先の管理が求められています。
委託先の管理方法においての規定を定め、委託管理先台帳も文書として揃えることが望ましいとされています。Pマークをすでに取得している企業であれば、それをそのまま活用することができます。
・事業継続計画(BCP)に関する書類
具体的には、「情報セキュリティ継続計画書」「情報セキュリティ継続計画演習記録」などが挙げられます。
ISO27001においては、天災や事故による事業継続管理において、情報セキュリティの維持管理を推奨しています。
ただ、天災や事故の際の手順書を詳細に定めても、そのとおりの実施は困難なのが実情です。
そこで、主に計画書にて、平時の備えやリスクアセスメント、事業継続計画を定めることが一般的です。すでにBCP関連の書類が自社にあれば、そこに加筆することでISMSの書類とすることも可能です。
たくさんの例を挙げましたが、これらそれぞれの書類については、以下の記事で例文を紹介しています。
合わせて参考になさってください。
ひな形の選び方
ここまでお読みいただいて、書類の煩雑さに辟易したのではないでしょうか?それは全く以ってもっともな感想です。
もうお分かりかと思いますが、自社で完全オリジナルの書類を一から作成することは大変な労力を割くことになります。
では、コンサルタントから渡されるひな形を使ったら、簡単なのでしょうか?
答えは「No」です。
この文章を書いているライターの私でさえ、最初は頭から湯気を出しながら、悪戦苦闘しました。が、そのおかげで、認証を取り終わったときすべての書類が一本の糸できれいにつながって見え、感動すら覚えました。
しかし、そうなるためには前提にすぐれたひな形が必要になるのです。
よいひな形を選ぶポイント
ではすぐれたひな形はどこでわかるでしょう?
・むやみに自動化されていないこと
・無駄な書類などがないこと
・Googleスプレッドシートなど、オンラインで共有できること
上記3点が主に大切なことになります。以下簡単に解説します。
むやみに自動化されていないこと
「自動化」と言われると、飛びつきたくなる気持ちはよくわかります。しかし、何のためのISMS認証を取得するのでしょうか?「会社の情報資産を適切に守ることで、会社の発展につなげる」ことではないでしょうか?認証マークだけ取っても意味はありません。マーク取得が目的ということは、形骸化を意味しています。
何もわからない状態の人が最初から自動化してしまったら、何もわからないまま認証審査に臨み、その間中、冷や汗をかきながらオートメーションシステムをにらめっこして回答するのです。
さらに言うと、何もわからないので、自分たちの会社が抱える情報リスクもわからないままに認証を取ります。それは、自分たちで何もパッチすることができない脆弱な情報セキュリティマネジメントシステムを構築してしまうことに他ならないのです。
完璧でなくていいのです。まずは書類がなぜあるのか、それがどう関わってくるのか、わからないなりに、頭から湯気を出して取り組む姿勢がISMSで重要になってくることを感じてください。
無駄な書類などがないこと
その会社の規模やニーズに応じて、作らなくてはいけない書類は若干変わってきます。いいひな形にはいいコンサルタントがついています。その取捨選択もコンサルタントが教えてくれます。
また、長文で説明しがちな規程類に、見やすい表や箇条書きが盛り込まれているかも重要です。本来見づらいからこそ少しでも見やすくなっていることは、理解を深めるためにも不可欠になってきます。
Googleスプレッドシートなど、オンラインで共有できること
書類作成を複数人で分担できますし、自社の必要性に合わせて、加工が簡単にできます。関連する文書通しをリンクで紐づけることもできるので、設定しておけば、審査時に慌てなくて済みます。
また、審査員が審査時に「こうしたほうがいい」と言われたことがその場ですぐに修正できるので、審査後に別で対応する必要がなくなります。すなわち、審査の負担がそれだけ軽くなるということです。
まとめ~形骸化させないために
この記事では、ISMS(ISO27001)に必要な文書と、ひな形の選び方についてまとめました。
ISMS(ISO27001)では文書の作成が求められますが、すべての要求事項において必須というわけではなく、企業ごとに作成すべきかどうかを判断することになります。
重要なのは、自社の事業活動の中で、会社の実情に合った形で情報セキュリティの3要素である「C・I・A」(機密性・完全性・可用性)が担保されるような文書をしっかり作成することです。
そして、繰り返しになりますが、自社ですべての文書を作成するのは非常に手間と時間を要します。
複数社、認証取得に携わったライターおすすめのひな形(一部)は、この記事のダウンロードからお手にとっていただくことができます。
ぜひひな形をご覧になって、ご検討ください。
最初はどこのひな形を見ても、煩雑にしか感じないでしょう。しかし、適切なひな形を使って、認証取得した暁には、あなたの後ろには必ずやあなたの会社のISMSの道ができているはずです。
ISMS取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを運用することで、何らかの改善が実現し、お客様も喜ぶ。そんな状態を理想と考えているからです。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
