今日はISMS規格(ISO27001)のなかにある、「文書化した情報」というフレーズについて、詳しく見ていきたいと思います。
文書化した情報って何だ?
規格を読んだことがある方ならご存知かと思いますが、規格の中にはやたら「文書化した情報」というフレーズが登場します。いくつかピックアップしてみました。
- ISMSの適用範囲は、文書化した情報として利用可能な状態にしておかなければならない。(規格4.3)
- 組織は、情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。(規格6.1)
- 組織は、情報セキュリティ目的に関する文書化した情報を保持しなければならない。(規格6.2)
さて、ここで問題なのですが、「文書化した情報」って、一体何でしょうか。「文書」とは何が違うのでしょうか?
規格に書かれている用語に困ったときは、用語集であるJIS Q 27000を参照するのが定石です。では、JIS Q 27000に、どのように書かれているのかといいますと、
文書化した情報(documented information)
組織(2.57)が管理し,維持するよう要求されている情報,及びそれが含まれている媒体。
注記1 文書化した情報は,あらゆる形式及び媒体の形をとることができ,あらゆる情報源から得ることができる。
注記2 文書化した情報には,次に示すものがあり得る。
− 関連するプロセス(2.61)を含むマネジメントシステム(2.46)
− 組織の運用のために作成された情報(文書類)
− 達成された結果の証拠(記録)
着目すべきなのは、「文書化した情報は、あらゆる形式及び媒体の形を取ることができ」という点です。
文書化した情報は、紙媒体でなくてもOK
多くの会社で働いている方は、「文書」と聞くと、どうしても紙媒体に印刷されたものを想像されるかと思います。しかし、ISMSが求めているものは「文書」ではなくて「文書化した情報」なのです。そしてそれは紙媒体ではなく、あらゆる形式及び媒体の形を取ることが出来るわけです。
実際、最近はISMS関連の文書を、紙媒体で保持しない会社がとても多いです。
最も多い「文書化した情報」の管理方法は、作成した文書をクラウド上で保存し、クラウド上で管理するという形式です。
その文書の作成方法は、ローカルPC上においてwordファイルで作成したものをクラウドに上げる場合もあれば、googleドキュメントなどの、クラウド上で文書を作成できるサービスを利用している場合もあります。
ちなみに、弊社LRMもISMSを取得しているのですが、LRMの場合は、社員全員が普段から利用しているboxというクラウドストレージサービスを利用して、文書の管理を行っています。
もちろん、必要な規程類は社員全員か閲覧できるようになっており、改ざんされてはいけないものは、厳重なアクセス制限をかけています。
今後、どのようなフォーマットが誕生していくのかはわかりませんが、先程も述べたとおりISMSの規格においては、文書の管理に関して、そのフォーマットの制限はありません。
印刷して管理するのも良いですし、クラウド上で管理するものいいと思います。画像や動画ファイルの中に文書を入れ込むのは、さすがに扱いにくいかもしれませんが、組織の全員が合意しているならば、それも「文書化した情報」の一つの形として、ありではないでしょうか。
組織にあった文書管理の方法を選択していくことが大切です。
ただ、いくらフォーマットの選択に自由度があるからといって、一切制限がないわけではありません。文書化した情報の管理に求められている内容は、JIS Q 27001の7.5にも書かれていますから、こちらも必要に応じて参考とすべきです。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/iso27001/blog/wp-content/themes/iso27001_ver4/images/f_tel.png)