ISMS(ISO27001)文書とは?分類や具体例をわかりやすく解説
- ISO27001では、情報セキュリティ方針、適用宣言書などの文書を作成する必要がある
- ISO27001は必須のもの以外、自社で柔軟に作成する書類を決められる
ISO27001で作成する文書の種類には「情報セキュリティ方針、ISMSマニュアル(必須ではない)、適用宣言書、管理規程関連(必須ではない)、管理手順書関連(必須ではない)、記録/様式」があります。これらを作成するには、業務の負荷や管理コストも考慮し、運用可能な文書数に留める工夫することが求められます。
そこで今回は、ISMS文書の基本構成や情報区分、作成文書一覧を解説します。
目次
ISMS文書とは
ISO27001(ISMS)の要求事項「7.5文書化した情報」に定められている概要をまとめました。
| 項番 | 概要 | |
| 7.5.1 | 一般 | 文書化が必要な情報について示しています。 |
| 7.5.2 | 作成及び更新 | 文書化した情報を作成・更新する際に求めている内容について示しています。 |
| 7.5.3 | 文書化した情報の管理 | 文書化した情報の管理の仕方について示しています。 |
つまり、要求事項では「どのような情報を」「どのように作成(更新)し」「どのように管理するのか」を求めています。
ここから、それぞれの項番の内容についてわかりやすく解説します。
【7.5.1一般】ISMS文書の基本構成
ISO27001(ISMS)の要求事項「7.5.1一般」には、「どのような情報を文書化する必要があるのか」について以下のように記載されています。
| 基本階層 | 階層構成名 | 階層の概要 | 具体例 |
|---|---|---|---|
| 第1層 | 基本方針 | 要求事項を満たすための取り組みを、どのように行うのかを示した文書 | 情報セキュリティ方針、適用宣言書 |
| 第2層 | 管理規程 | マニュアルを補完し、ISMSに関する管理手順を示した文書 | 情報セキュリティ運営管理規程、内部監査管理規程など |
| 第3層 | 管理手順 | ISMSに関する作業手順を示した文書 | 具体的な手順や注意点を示したマニュアルなど |
| 第4層 | 様式/記録 | ISMSを運用している証拠となる文書 | 日々の運用記録など |
文書化した情報を体系化しておくことで、従業員がスムーズに情報を検索できます。そのため、その文書の階層を意識しつつ情報を文書化することが重要です。
ここでは、それぞれの情報の内容や具体例について解説します。
作成が必要なISMS文書
「ISO27001が要求する情報」には、ISMSを構築・運用するフレームワークに関する以下の文書が挙げられます。
ISMS方針に関する文書
ISMS方針とは、ISMS構築の根幹となる情報です。
例えば、最近ではホームページに記載することも増えた「情報セキュリティポリシー」や「適用宣言書」があります。これらの文書は、ISMSを構築するうえで最上位の宣言となっており、自社の情報セキュリティにおける方針を定めたものです。
リスクマネジメントに関する文書
マネジメントシステムを構築する際、情報セキュリティにおけるリスクマネジメントは欠かせません。ISO27001におけるリスクマネジメントでは、自社の情報資産を特定し、それぞれの情報資産におけるリスクを分析・評価したうえでリスクへの対応を検討するリスクアセスメントを実施します。
これらの手順において、方針から規定、手順書までを文書として記載することが必要です。
内部監査に関する文書
構築したマネジメントシステムが、ISO27001の要求事項に適合しているか、有効に機能しているかを自社内部で確認するのが内部監査です。
内部監査を実施する際には、内部監査の実施記録を残す必要があります。実施する際のチェックリストと併せて保存することで、前回からの内部監査との比較が可能になります。
マネジメントレビューに関する文書
マネジメントレビューは、トップマネジメントが現状のマネジメントシステムをこれまでの運用記録や内部監査の結果をもとに判断し、次の改善指示を出すことです。その際に、どのような評価をするのか、どのような指示を出したのかという方針を記録として作成します。
作成が組織に委ねられているISMS文書の例
ここでは、「作成すべきかどうかを組織に委ねている情報」について解説します。
作成が委ねられている情報は「情報セキュリティの管理策に関する情報」のことで、以下のような組織のもつ情報の機密性・完全性・可用性を高めるための方法に関する文書です。
組織により文書化の必要性の有無が異なる場合があるため、文書化は組織に委ねられています。
情報資産の管理に関する文書
情報資産の保護のために、情報資産の管理を目的とした利用手順や利用記録などを残しておくことが望まれます。
そもそもの情報資産の定義や分類についても文書にしておくことで、いつでも見返せるようになります。また、情報資産台帳もこの分類に含まれます。
アクセス制御に関する文書
情報資産へのアクセスには、「システム上のアクセス」と「物理的なアクセス」があります。アクセスする際には、アカウントによってアクセス制御を定めることが必要です。
そのため、システム上のアクセス制御としてサーバー管理、暗号化、ログ監視、物理的なアクセス制御として社内の情報資産保管場所への出入りの記録などのログや記録を残すことが求められます。
委託先管理に関する文書
情報資産を第三者に渡す場合には、委託先を管理することが求められています。
委託先の管理方法として、方針や規定、委託先管理台帳を文書として揃えることが望ましいとされています。
そして、その文書をもとに委託先の選定や契約、管理を行うことで情報セキュリティの一貫性をもたせます。
事業継続管理に関する文書
ISO27001では、天災や事故といった不慮の事態に見舞われた際にも事業を継続できるように、情報セキュリティの維持管理を推奨しています。
平時の備えやリスクアセスメントについて文書化するとともに、有事の際の事業継続計画における方針や規定、手順書を定めます。
【7.5.2作成及び更新】要求事項に基づいたISMS文書の作成・更新
ここでは、ISO/IEC27001の要求事項に基づいたISMS文書の作成・更新について解説します。
【7.5.2a】適切な識別及び記述
文書化した情報には、タイトルや作成・更新した日付、作成者・承認者、参照番号などを記載します。
【7.5.2b】適切な形式
文書化する情報は、適切な媒体(紙や電子データ)で、適切な形式(言語や図表など)で作成します。
【7.5.2c】適切なレビューと承認
作成する文書は、適切なレビューと承認を受けて決定されます。一般的に、文書体系の階層によって「作成→審査→承認」と承認ルールを定めます。
【7.5.3文書化した情報の管理】要求事項に基づいたISMS文書の管理
「7.5.3文書化した情報の管理」では、ISMS文書について以下のような管理方法を求めています。
- 適切な保管場所で管理し、必要なときに必要なところで、利用可能な状況で管理すること。
- 損傷や劣化などにより機密性・完全性を喪失しないように、十分に保護して保管場所を定めること。電子データの場合には、アクセス権限を設定するなどして保護すること。
- 必要なときに利用できるように、配布方法や保管場所へのアクセス方法、検索・利用方法を定めること。
- 定めた場所に定めた期間、適切に保管すること。
- 変更・更新があった場合に版番号や改訂日などを管理し、最終更新日を表示すること。
- 定めた期間が経過したら、定めた方法で適切に廃棄すること。
ISMSでよく作成される主な文書一覧
最後に、ISMS文書管理で作成することが一般的な主な文書についてまとめました。
以下の文書は、すべてが作成必須ではありません。ISMSの要求事項に則った文書管理を行う際に、必要な文書を検討する際に参考にしてください。
| 管理規定 | 管理内容/関連文書 | |
|---|---|---|
| 1 | 情報セキュリティ基本方針 | 情報セキュリティポリシー |
| 2 | 適用宣言書 | ISO/IEC27001附属書Aで選択(あるいは除外)した管理策が明確にわかる文書 |
| 3 | ISMSマニュアル | ISO/IEC27001要求事項に準拠し、企業/組織の情報セキュリティへの取り組みについて規定 |
| 4 | 文書管理規程 |
|
| 5 | 是正処置管理規程 | 是正処置に関する文書 |
| 6 | 内部監査管理規程 | 内部監査員の登録情報や、内部監査の計画・実施内容など内部監査に関する文書 |
| 7 | 情報セキュリティ運営管理規程 | ISMSの確立および運用維持における推進体制や、情報セキュリティ目的・計画、情報の分類など、情報資産の管理に関する文書 |
| 8 | 人的セキュリティ管理規程 | 機密保持誓約書個人情報取扱同意書力量管理に関する文書教育計画・教育実施記録 |
| 9 | セキュリティ・インシデント管理規定 | セキュリティ・インシデント報告書 |
| 10 | 物理的・環境的管理規程 |
|
| 11 | 通信・運用管理規程 | 運用の手順や責任、マルウェアからの保護、情報のバックアップ、ログ取得・監視等に関する文書 |
| 12 | システム管理規定 | ユーザーアカウントやサーバー管理や、社内ネットワーク接続、マルウェア対策、媒体の暗号化、データのバックアップ、システムのログ監視などに関する記録や文書 |
| 13 | システム利用規定 | パソコンのセキュリティ対策やマルウェア対策、媒体の暗号化、電子メールやWebサービス利用におけるセキュリティ対策などに関する文書 |
| 14 | 撮影機能付きデバイス管理規定 | スマートフォンやデジタルカメラなどの撮影機能付きデバイスの管理規定 |
| 15 | 適合性管理規程 | 法的及び契約上の要求事項の順守や、情報セキュリティのレビューに関する文書 |
| 16 | 事業継続管理規程 | 事業継続マネジメントにおける情報セキュリティ継続や冗長性に関する文書(事業継続計画、事業継続リスクアセスメント評価等) |
| 17 | 外部委託先管理規程 | 委託先の選定・契約・管理に関する文書 |
| 18 | リスク管理規程 | 情報セキュリティリスクアセスメントの計画・特定/分析・評価、リスク対応に関する記録や文書 |
| 19 | ネットワーク管理規定 | ネットワークセキュリティや情報の転送、情報システムのセキュリティ要求事項等に関する文書 |
まとめ
ISO27001では文書の作成が求められています。ただし、すべての要求事項において必要なわけではなく、企業ごとに作成するかどうかはある程度委ねられています。
大切なのは、自社が事業活動する中で情報セキュリティの3要素である機密性・完全性・可用性を担保するための文書になることです。そのため、自社の従業員が利用しやすいように、実情に合う形式や書式になるよう工夫しましょう。
「自社に合った文書作成がわからない」という場合には、コンサルティング会社にアドバイスを依頼することも一つの手です。まずは豊富な実績があるISOプロにお気軽にお問い合わせください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい