ISMSの文書体系とは|具体例や分類例も交え解説

この記事は約7分で読めます。

ISMS(ISO 27001)規格では、あらゆる場面において文書作成が義務づけられています。文書体系の整備はISMSの運用において必須です。

ここではISMS文書の階層構成から文書体系、ISMS文書の大まかな分類と代表的な文書群について説明します。

ISMS文書の階層構成と文書作成のポイント

ISMSの文書は以下の1~4の階層構成になっています。

  1. 基本方針
  2. 管理規程
  3. 管理手順
  4. 様式/記録

おおまかに区分すると、上層の総則、中層の規則、下層のマニュアル・記録類になります。

ISMS文書の作成ポイントは、形式的にせず具体性を持たせることです。特に手順の実行に際して「何をしなければならないのか?」「何をしてはいけないのか?」を従業員が明確に理解し、間違いなく実行できるように作成しましょう。

なお、ISMS(ISO 27001)規格の要求事項では文書の形式や書式、文書体系を細かく規定していません。したがって、各企業の実情に即した、利用しやすい形式にて作成できます。

訪問回数無制限! 認証取得100%!

ISMS文書の文書体系

ISMS文書の文書体系とは、セキュリティポリシーや適用宣言書の「基本方針」、内部監査規程などの各管理規程、マニュアル等の管理手順書がどう関連しているかを系統立てて表したものです。

文書体系がないと、各部門に属する従業員がどの規程を参照すべきかわからなくなります。せっかく文書を作成しても、情報セキュリティリスクの低減にはつながりません。

一般的に、ISMS文書の体系として「基本方針」→「基本規程」→「管理規程」とする形態が多いようです。現場レベルに適用される管理手順書は管理規程と別に定められるのが普通です。例外的に、管理規程を基本規程に含めてしまう企業もあります。

ISMS文書の文書体系のイメージは以下のようになります。

(例)委託先について
  • 基本方針:セキュリティポリシー(16項 情報処理の外部委託)
  • 基本規程:情報セキュリティ対策基準書(9項 外部委託先管理)
付番 要件 管理規程 管理手順書・様式
9-1 委託先管理リスト 基本規定の項目9-1に準ず
委託先一覧表
9-2 機密保持契約 基本規定の項目9-2に準ず 基本契約書の締結手順書
9-3 委託先との情報やり取り 資産情報の受け渡し規程 機密情報受領台帳作成手順書
9-4 情報の受け渡しの記録 同上
9-5 情報の返却・回収 同上 機密情報受領台帳

ISMS文書の分類

ISMSの文書は大きく2つに分けられ、「ISMSのフレームワークを管理するための文書」「情報セキュリティの管理策に関する文書」のいずれかに分類できます。

分類の例をあげると、以下のようになります。

ISMSのフレームワークを管理するための文書
  • 方針の管理
  • リスクマネジメント
  • 内部監査・マネジメントレビュー
情報セキュリティの管理策に関する文書
  • 情報資産の管理
  • アクセス制御
  • 委託先管理
  • 事業継続管理

ISMSのフレームワークを管理するための文書

ここではISMS文書の2つの分類のうち、ISMSのフレームワークを管理する文書の一例を取り上げ、その概要を説明します。

方針の管理

自社のISMS方針や適用範囲といった、ISMSの根幹を成す重要な文書群です。代表的なものとして「情報セキュリティポリシー」「適用宣言書」があります。ISMSの文書体系では最上位の規範となり、個別の詳細事項は別途定めます。

情報セキュリティポリシーは情報資産の安全な運用方針や行動指針を定めた文書です。適用宣言書はISMS(ISO 27001)規格の「管理策」のうち、自社(組織/プロジェクト)に適用する(もしくは除外)項目を示した文書です。

リスクマネジメント

現在のマネジメントシステムではリスクマネジメントは欠くことができず、情報セキュリティマネジメントにおいても同様です。ISMSにおけるリスクマネジメントとは、情報資産における脅威と脆弱性を分析して、リスクの評価とリスクを許容するかを決定します。これらは包括的に「リスクアセスメント」と称されます。

リスクアセスメントの文書とは、情報セキュリティリスクの「特定」「分析/評価」「リスク対応」といった全体プロセスに関する文書と記録類です。文書体系としては方針から各種規程、手順書にまで及びます。

内部監査

内部監査はISMSのPDCAサイクルの「C:チェック(評価)」における重要な工程で、内部監査管理規程が主たる文書となります。文書体系は基本方針から各種規程、記録類まで網羅し、規程や実施記録に重点が置かれます。

マネジメントレビュー

マネジメントレビューはISMSのPDCAサイクルの「A:改善」の工程の要所で、経営者が現状のISMSを判断し、修正や改善の必要があれば指摘して記録に残します。文書体系は基本方針と各種規程、記録類ですが、方針と記録が重視されます。

情報セキュリティの管理策に関する文書

最後に、具体的な運用施策に関わるISMS文書、情報セキュリティの管理策に関する主な文書の概要を説明します。

情報資産の管理

ISMSの目的は情報資産の管理にあり、主たる関連文書は情報セキュリティ管理規程です。ISMS体制の確立・運用、情報資産の定義・分類などISMS全般を網羅し、内容も多岐にわたります。そのため、関連文書群の確固とした体系が望まれます。

文書体系は基本方針から規程類、具体的な実施記録まで範囲も広く、どれも重要な文書です。なお、基本方針を決定するための資料である情報資産台帳も含まれます。

アクセス制御

アクセス制御はISMSの主たる目的の一つ、「機密性」を確保する重要な手段です。ISMS(ISO 27001)規格の末尾にある管理策の項で、システム的なアクセスと物理的なアクセスの制御方法について詳しく説明されています。

文書体系は基本方針から規程類、手順書・記録(ログ)です。システムアクセスに関しては「(例)システム管理規程」でアカウントやネットワーク接続、サーバー管理、暗号化、ログ監視について定めます。物理メディアのアクセスは「(例)物理的管理規程」で社内拠点や社外の保管場所の出入り、情報の持ち出し・管理方法を定めます。いずれもログや記録を残し、管理を行います。

委託先管理

業務委託により個人情報や情報資産を第三者に渡す場合、委託先の管理が必要です。ISMS(ISO 27001)規格の管理策「A.15 供給者関係」では、委託先の管理方法が詳しく説明されています。

文書体系は基本方針から規程、手順書に加え、委託先管理台帳を揃えるのが望ましいです。規程類に重点を置き、「(例)外部委託先管理規程」に委託先の選定と契約、管理の方法を定めます。

事業継続管理

ISMSでは天災や事故による事業継続管理において、情報セキュリティの維持管理を推奨しています。ISMS(ISO 27001)規格の管理策のA.17項に事業継続管理の内容があり、「セキュリティの維持」「冗長性による備え」の二段構えで情報の保護に努めなくてはならない旨の説明があります。

文書体系は主に基本方針と規程、手順書になります。万一の際の手順を定めても事実上実施が困難なため、主に「事業継続管理規程」にて平時の備えやリスクアセスメント、事業継続計画について定めます。

まとめ

ISMSの文書体系は基本的に自社独自の形態にしてかまいません。ただ、現場で使用される手順書は具体性と参照のしやすさを考慮し、ISMSがきちんと運用される基盤づくりをしていきましょう。

弊社ではISMS認証取得/運用支援サービスを行っております。会社のスタイルに合わせ、自社で「運用できる」認証をこれまでに2,300社以上ご支援してまいりました。ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料相談をお申し込みください。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました