ISMSの基礎となる規格JIS Q(ISO/IEC) 27001では、「文書化した情報」として文書や記録として管理する必要があるものがあります。
ただ、ざっくり記録を読んでも「この項目で文書化した情報が求められているのは分かったけど、具体的に何があればいいんだろう…」となってしまいがちです。
そこで今回は、規格上文書化した情報として求められているものを一覧として公開したいと思います!
作成が求められるもの
| 項番 | 求められているもの |
|---|---|
| 4.3 | ISMSの適用範囲を明確化したもの(適用範囲の記載やフロア図といった図面など) |
| 5.2 | 情報セキュリティ方針 |
| 6.1.2 | 情報セキュリティリスクアセスメントのプロセス(基準や手順) |
| 6.1.3 | 適用宣言書情報セキュリティリスク対応のプロセス(基準や手順) |
| 6.2 | 情報セキュリティ目標や達成のための計画 |
| 7.2 | 力量の証拠(教育記録・テスト結果など) |
| 8.1 | プロセスが計画通りに実施されたという確信を持つために必要な程度の情報(スケジュール管理) |
| 8.2 | 情報セキュリティリスクアセスメントの結果 |
| 8.3 | 情報セキュリティリスク対応の結果 |
| 9.1 | 監視及び測定の結果の証拠 |
| 9.2 | 内部監査のプログラム・結果の証拠 |
| 9.3 | マネジメントレビューの結果の証拠 |
| 10.1 | 不適合の性質及び取った処置、是正処置の結果 |
ざっくりと規格本文だけでも13ヵ所、文書化が要求されているものがあります。
これらは、「進捗管理表」や「リスク管理表」などの記録、また、手順としてマニュアル類にまとめられるものもあります。
文書化が必要な情報はこれだけではない
前項の表を見ていただくと、ISMSの取り組みで必ず登場する「情報資産管理台帳」などに該当するものがありません。それは、情報資産の台帳を作るのは規格本文ではなく「附属書A」の管理策で求められていることだからです。
つまり、表に記載しているのはあくまでも規格本文で求められている最低限の文書・記録類であり、附属書Aに視線を広げると、さらに追加で文書化が求められる情報も存在しているため、適用する管理策によっては注意が必要です。
まとめ
今回は、ISMSで必要な文書や記録をご紹介しました。
「自分たちが普段ISMSを運用する上で作ったり見直したりしている文書や記録は、こういう背景で作成していたのか!」ということに気付いていただけたのではないでしょうか。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/iso27001/blog/wp-content/themes/iso27001_ver4/images/f_tel.png)