ISMSの文書体系は、規格の中で抽象的に記述されています。
そのため、どのような文書を、どの項目を網羅して作成すべきか、ISMSの取り組みを始めたばかりの会社では理解しにくいことと思います。
そこで、ISMSの文書体系がイメージしやすいように、文書の全体像をまとめ、要求事項・管理策をどのように網羅するか、文書の位置づけと合わせて解説します。
また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。
ぜひ本記事と併せてご活用ください。
ISMS文書の階層構成と文書作成のポイント
ISMSの文書は以下の1~4の階層構成になっています。
- 基本方針
- 管理規程
- 管理手順
- 様式/記録
おおまかに区分すると、上層の総則、中層の規則、下層のマニュアル・記録類になります。
これらの4つの文書は、ISMS認証取得のために、作成はほぼ必須とされます。
ただし、ISMS(ISO 27001)規格の要求事項では形式・書式を細かく規定はしていません。
そこで、これらの4種類の文書を各企業の実情に即して作成することが必要です。
ISMS文書の作成ポイントは、形式的にせず具体性を持たせることです。
特に手順の実行に際して「何をしなければならないのか?」「何をしてはいけないのか?」を従業員が明確に理解し、間違いなく実行できるように作成しましょう。
ISMS文書の文書体系
ISMS文書の文書体系とは、セキュリティポリシーや適用宣言書の「基本方針」、内部監査規程などの各管理規程、マニュアル等の管理手順書がどう関連しているかを系統立てて表したものです。
抽象性が高く、ハイレベルのものが基本方針、会社のルールが「管理規程」、手順書、様式/記録の順に具体的なものとなります。
文書体系がないと、各部門に属する従業員がどの規程を参照すべきかわからなくなります。
せっかく文書を作成しても、情報セキュリティリスクの低減にはつながりません。
ルールと手順が明確であることも必要です。
多くの企業で、ISMS文書の体系として「基本方針」→「基本規程」→「管理規程」とする形態が多いようです。
基本規定に基づき、ITや、法務部などの管理部署がそれぞれの職務に応じた管理の方法を定めるという方法です。
また、現場レベルに適用される管理手順書は管理規程と別に定められるのが普通です。
一方、管理規程を基本規程に含めてしまう企業もありますが、会社の規模に応じた態様、ということができるでしょう。
たとえば、「委託先の管理」について、ISMS 文書の文書体系の例を挙げると、以下のとおりです。
- (例)委託先について
-
- 基本方針:セキュリティポリシー(16項 情報処理の外部委託)
- 基本規程:情報セキュリティ対策基準書(9項 外部委託先管理)
| 付番 | 要件 | 管理規程 | 管理手順書・様式 |
|---|---|---|---|
| 9-1 | 委託先管理リスト | 基本規定の項目9-1に準ず | – |
| – | 委託先一覧表 | ||
| 9-2 | 機密保持契約 | 基本規定の項目9-2に準ず | 基本契約書の締結手順書 |
| 9-3 | 委託先との情報やり取り | 資産情報の受け渡し規程 | 機密情報受領台帳作成手順書 |
| 9-4 | 情報の受け渡しの記録 | 同上 | – |
| 9-5 | 情報の返却・回収 | 同上 | 機密情報受領台帳 |
このように、方針・規定・手順書・様式の順に上位から下位まで文書を作成・運用します。
手順書は、規定の要件を満たすための手順です。また、様式を定めると、要件を満たすためにどんな文書が作成されるべきなのか、一目で理解することができます。
こうして、現場担当者も、規定の定める要件を確実に実行することができるのです。
ISMS の文書を作成する際に確認する要求事項について
ところで、ISMSの文書を作成する際には、その要求事項を充たさなければなりません。
要求事項とは、ISMS(ISO 27001)の規格を満たしているかどうかの基準となるものです。
具体的には、以下の事項が文書で網羅されていることと、実行されていることが必要です。
0項 序文
1項 適用範囲
2項 引用規格
3項 用語及び定義
4項 組織の状況
5項 リーダーシップ
6項 計画
7項 支援
8項 運用
9項 パフォーマンス評価
10項 改善
あわせて附属書A(管理策)も要求されます。
上記の10項目を実行するためには、特に「組織の状況」に応じた情報の機密性・完全性・可用性を脅かすリスクについてアセスメントを行い、適時に「改善」を行わなければなりません。
つまり、組織に応じたリスクをPDCAサイクルにのせて継続的改善をすることが求められます。
そのためには、「リーダーシップ」をとるべき人を決め、「計画」「支援」を行い、常に現場での「運用」を行い、どこまで出来てできなかったかについての「パフォーマンス」を評価するのです。
以上をまとめると、ISMS文書は、年間を通じて要求事項を実行できるようにするための規定と、管理策・具体的な手順を網羅するものです。
また、ISMS文書体系が上位レベル・下位レベルと分類できるものであるのに対し、各要求事項は、項目別に上位レベル・下位レベルを横断するイメージで作成します。
それぞれの要求事項を基本方針・管理規程・管理手順・様式/記録、それぞれのレベルで体系的に盛り込む必要があります。
また、ISMS規格は2022年に改訂され、新規格となりました。LRMでは、新規格でとるべき対応が網羅的に学べるオンデマンド講座をご提供しています。まずは無料のサンプル動画をご覧ください。
ISMS文書の分類
ISMS文書は、規定の対象とする項目別に分類することができます。
まず大きく 2 つに分類されますが、「ISMSのフレームワークを管理するための文書」「情報セキュリティの管理策に関する文書」のいずれかに分類できます。
分類の例をあげると、以下のようになります。
- ISMSのフレームワークを管理するための文書
-
- 方針の管理
- リスクマネジメント
- 内部監査・マネジメントレビュー
- 情報セキュリティの管理策に関する文書
-
- 情報資産の管理
- アクセス制御
- 委託先管理
- 事業継続管理
ISMSのフレームワークを管理するための文書は、ISMSの規格が維持されるための「しくみ」に関する文書です。
これに対して、情報セキュリティの管理策に関する文書は、直接に情報の機密性・完全性・可用性に関する手段を確保し、実行するための「方法」に関する文書といえるでしょう。
ISMSのフレームワークを管理するための文書
ここではISMS文書の2つの分類のうち、ISMSのフレームワークを管理する文書の一例を取り上げ、その概要を説明します。
方針の管理
自社のISMS方針や適用範囲といった、ISMSの根幹を成す重要な文書群です。
代表的なものとして「情報セキュリティポリシー」「適用宣言書」があります。
ISMSの文書体系では最上位の規範となり、個別の詳細事項は別途定めます。
情報セキュリティポリシーは情報資産の安全な運用方針や行動指針を定めた文書です。
適用宣言書はISMS(ISO 27001)規格の「管理策」のうち、自社(組織/プロジェクト)に適用する(もしくは除外)項目を示した文書です。
リスクマネジメント
現在のマネジメントシステムではリスクマネジメントは欠くことができず、情報セキュリティマネジメントにおいても同様です。
ISMSにおけるリスクマネジメントとは、情報資産における脅威と脆弱性を分析して、リスクの評価とリスクを許容するかを決定します。
これらは包括的に「リスクアセスメント」と称されます。
リスクアセスメントの文書とは、情報セキュリティリスクの「特定」「分析/評価」「リスク対応」といった全体プロセスに関する文書と記録類です。
文書体系としては方針から各種規程、手順書にまで及び、横断的に規定する必要があります。
内部監査
内部監査はISMSのPDCAサイクルの「C:チェック(評価)」における重要な工程で、内部監査管理規程が主たる文書となります。
文書体系は基本方針から各種規程、記録類まで網羅することとなりますが、特に規程や実施記録に重点が置かれます。
マネジメントレビュー
マネジメントレビューはISMSのPDCAサイクルの「A:改善」の工程の要所で、経営者が現状のISMSを判断し、修正や改善の必要があれば指摘して記録に残します。
文書体系は基本方針と各種規程、記録類ですが、方針と記録が重視されます。
情報セキュリティの管理策に関する文書
最後に、具体的な運用施策に関わるISMS文書、情報セキュリティの管理策に関する主な文書の概要を説明します。
情報資産の管理
ISMSの目的は情報資産の管理にあり、主たる関連文書は情報セキュリティ管理規程です。
ISMS体制の確立・運用、情報資産の定義・分類などISMS全般を網羅し、内容も多岐にわたります。
そのため、関連文書群の確固とした体系が望まれます。
文書体系は基本方針から規程類、具体的な実施記録まで範囲も広いものです。
各レベルに規定し、また、どの手順・記録も重要な文書です。
なお、基本方針を決定するための資料である情報資産台帳も含まれます。
アクセス制御
アクセス制御はISMSの主たる目的の一つ、「機密性」を確保する重要な手段です。
ISMS(ISO 27001)規格の末尾にある管理策の項で、システム的なアクセスと物理的なアクセスの制御方法について詳しく説明されています。
文書体系は基本方針から規程類、手順書・記録(ログ)です。
システムアクセスに関しては「(例)システム管理規程」でアカウントやネットワーク接続、サーバー管理、暗号化、ログ監視について定めます。
物理メディアのアクセスは「(例)物理的管理規程」で社内拠点や社外の保管場所の出入り、情報の持ち出し・管理方法を定めます。いずれもログや記録を残し、管理を行います。
委託先管理
業務委託により個人情報や情報資産を第三者に渡す場合、委託先の管理が必要です。
ISMS(ISO 27001)規格の管理策「A.15 供給者関係」では、委託先の管理方法が詳しく説明されています。
文書体系は基本方針から規程、手順書に加え、委託先管理台帳を揃えるのが望ましいです。
規程類に重点を置き、「(例)外部委託先管理規程」に委託先の選定と契約、管理の方法を定めます。
事業継続管理
ISMSでは天災や事故による事業継続管理において、情報セキュリティの維持管理を推奨しています。ISMS(ISO 27001)規格の管理策のA.17項に事業継続管理の内容があり、「セキュリティの維持」「冗長性による備え」の二段構えで情報の保護に努めなくてはならない旨の説明があります。
文書体系は主に基本方針と規程、手順書になります。万一の際の手順を詳細に定めても事実上実施が困難であるという特性があります。
そこで、主に「事業継続管理規程」にて平時の備えやリスクアセスメント、事業継続計画について定めます。
また、一歩踏み込んで、どのレベルの災害で、どんな組織的対応を行うかなど、抽象的なレスポンスプランを定めて置く例も多くなっています。
まとめ
ISMSの文書体系は、会社では基本方針・管理規程・管理手順・様式/記録として存在します。
また、各文書は、ISMSの要求事項が網羅され、実行されるように作成されるものです。
文書は、情報の機密性・完全性・可用性を担保するための安全管理策が網羅されているほか、ISMSの規格を維持するための会社の仕組みも網羅したものとなります。
また、ISMS認証取得をお考えの皆様に向けて、こちらの資料では、ISMS認証取得の始めの検討段階から審査当日までの一連の流れを23項目のチェックリストにいたしました。
認証取得までの流れを抜け漏れなく把握していただくために、ぜひまずは無料でダウンロードしてお確かめください。
