ISO27001で作成すべきマニュアル文書一覧
ISO27001 で作成する文書の種類には「情報セキュリティ方針 、 ISMS マニュアル(必須ではない)、適用宣言書、管理規程関連(必須ではない)、管理手順書関連(必須ではない)、記録/様式」がありますが、業務の負荷や管理コストも考慮し、運用可能な文書数に留める工夫をしましょう。
目次
ISO27001で作成する各種文書
ISO
/IEC 27001の要求事項(箇条4~10)に沿って作成する各種文書について、参考例を記載しました。また、「規定別、作成文書一覧」ではISO/IEC
27001の要求事項に基づいて策定すべき管理規程(管理規程名は任意名称)を記載してあります(青字)。各管理規程の「管理内容/関連文書」を参考(青字)に、各企業/組織で必要な関連文書を作成します。
箇条1「適用範囲」
事業・組織・事業所、適用範囲から除外される業務などについて記載します。ただし、ISO9001 などと違い、要求事項の適用除外は認められていません。
◇関連資料の作成(ISMS文書体系図/組織図/職務分掌/情報系フロアレイアウト図/電源・電話の配線図/機器構成図/ネットワーク構成図/情報資産台帳等)
箇条3「用語及び定義」⇒ ISMS用語の説明(集)
箇条4 「組織の状況」
◇関連資料の作成:
- リスク一覧表:ISMSの意図した成果達成に影響を与える、外部・内部の課題を決定しなければいけません。
- ISMS組織状況管理表:取引先・顧客などの利害関係者を特定し、その利害関係者の情報セキュリティに関する要求事項を決定しなければいけません。
※ここでは文書化することを要求されていませんが、文書化しておいた方が無難かもしれません。会議の議事録等に文書化されることもあるため、ISOのために文書を作成するということは不要かもしれません。
箇条5 「リーダーシップ」
- トップマネジメントは、情報セキュリティの方針を確立し、情報セキュリティ基本方針を制定して文書化します。
- 情報セキュリティに関する役割の責任及び権限を伝達しなければなりません。組織図などに文書化されることが一般的です。
箇条6 「計画」
- 6.1リスク及び機会に対処する活動
- 6.1.1 一般 ISMSマニュアル
- 6.1.2 情報セキュリティリスクアセスメント ⇒リスクアセスメント表
- 6.1.3 情報セキュリティリスク対応 ⇒リスク対応計画
- 6.2 情報セキュリティ目的及びそれを達成するための計画策定 ⇒情報セキュリティ目的
箇条7 「支援」
- 7.1 資源
- 7.2 力量 ⇒スキルマップ、技術経歴書
- 7.3 認識
- 7.5 文書化した情報
箇条8 「運用」
- 8.1 運用の計画及び管理 ⇒情報セキュリティ目的
- 8.2 情報セキュリティアセスメント⇒リスクアセンスメント表
- 8.3 情報セキュリティリスク対応 ⇒リスク対応計画
箇条9 「パフォーマンス評価」
- 9.1監視、測定、分析及び評価
- 9.2 内部監査 ⇒内部監査計画書、内部監査報告書、内部監査チェックリスト
- 9.3 マネジメントレビュー ⇒マネジメントレビュー記録
箇条10 「改善」
- 10.1 不適合及び是正処置 ⇒是正処置報告書、インシデント報告書
- 10.2 継続的改善
規定別、作成文書一覧
以下に示す文書は一般的に作成されることが多いものであり、全てが作成必須のものではない。
| 管理規定 | 管理内容/関連文書 | |
|---|---|---|
| 1 | 情報セキュリティ基本方針 | 情報セキュリティポリシー |
| 2 | 適用宣言書 | ISO/IEC27001附属書Aで選択(あるいは除外)した管理策が明確にわかる文書 |
| 3 | ISMSマニュアル | ISO/IEC27001要求事項に準拠し、企業/組織の情報セキュリティへの取り組みについて規定 |
| 4 | 文書管理規程 |
|
| 5 | 是正処置管理規程 | 是正処置に関する文書 |
| 6 | 内部監査管理規程 | 内部監査員の登録情報や、内部監査の計画・実施内容など内部監査に関する文書 |
| 7 | 情報セキュリティ運営管理規程 | ISMSの確立および運用維持における推進体制や、情報セキュリティ目的・計画、情報の分類など、情報資産の管理に関する文書 |
| 8 | 人的セキュリティ管理規程 | 機密保持誓約書個人情報取扱同意書 力量管理に関する文書教育計画・教育実施記録 |
| 9 | セキュリティ・インシデント管理規定 | セキュリティ・インシデント報告書 |
| 10 | 物理的・環境的管理規程 |
|
| 11 | 通信・運用管理規程 | 運用の手順や責任、マルウェアからの保護、情報のバックアップ、ログ取得・監視等に関する文書 |
| 12 | システム管理規定 | ユーザーアカウントやサーバー管理や、社内ネットワーク接続、マルウェア対策、媒体の暗号化、データのバックアップ、システムのログ監視などに関する記録や文書 |
| 13 | システム利用規定 | パソコンのセキュリティ対策やマルウェア対策、媒体の暗号化、電子メールやWebサービス利用におけるセキュリティ対策などに関する文書 |
| 14 | 撮影機能付きデバイス管理規定 | スマートフォンやデジタルカメラなどの撮影機能付きデバイスの管理規定 |
| 15 | 適合性管理規程 | 法的及び契約上の要求事項の順守や、情報セキュリティのレビューに関する文書 |
| 16 | 事業継続管理規程 | 事業継続マネジメントにおける情報セキュリティ継続や冗長性に関する文書(事業継続計画、事業継続リスクアセスメント評価等) |
| 17 | 外部委託先管理規程 | 委託先の選定・契約・管理に関する文書 |
| 18 | リスク管理規程 | 情報セキュリティリスクアセスメントの計画・特定/分析・評価、リスク対応に関する記録や文書 |
| 19 | ネットワーク管理規定 | ネットワークセキュリティや情報の転送、情報システムのセキュリティ要求事項等に関する文書 |
ISMS文書の基本構成
ISMSの要求事項には、文書の形式や体系などの詳細は求められていません。そのため、自社に適した内容で作成することが可能です。
一般的なISMS文書の基本階層は以下の4つになっています。
第1層:基本方針
第2層:管理規程
第3層:管理手順
第4層:様式/記録
ISMSの要求事項における文書体系としては、情報セキュリティ方針や適用宣言書が「基本方針」、情報セキュリティ運営管理規程や内部監査管理規定などが「管理規定」、具体的な手順や注意点を示したマニュアルなどが「管理手順書」、最後に日々の記録や様式となっています。
文書化した情報を体系化しておくことで、従業員がスムーズに情報を検索することができます。また、手順書を作成する際には、従業員が欲しい情報を明確に理解できる内容を心がけ、従業員が利用しやすい状態で運用することが重要です。
ISMS文書の主な分類
ISMS文書は、2つの観点から分類されています。
ISO/IEC27001が要求する文書化した情報
ISMSの根幹となる情報となるため、必ず文書化が必要となる情報です。
情報セキュリティ方針や適用宣言書、適用範囲、情報セキュリティリスクアセスメント
、内部監査、マネジメントレビューなど、情報セキュリティマネジメントの枠組みとなる部分が要求されています。
ISMSの有効性のために必要であると組織が決定した、文書化した情報
以下のような理由により、文書化の必要性の有無が組織で異なる場合があるため、企業ごとに委ねられています。
- 組織の規模、並びに活動、プロセス、製品及びサービスの種類
- プロセス及びその相互作用の複雑さ
- 従業員の力量
自社にとって、何の情報を文書化するのが必要かどうかを見極めることが大切になります。余剰な文書化は、管理を煩雑にして従業員の負担になりかねません。文書化する情報範囲や形式などでお悩みの場合には、コンサルタントに依頼するのもひとつの手と言えるでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい