ISMS(ISO27001)文書とは?分類や具体例をわかりやすく解説
- ISO27001では、情報セキュリティ方針、適用宣言書などの文書を作成する必要がある
- ISO27001は必須のもの以外、自社で柔軟に作成する書類を決められる
ISO27001 で作成する文書の種類には「情報セキュリティ方針 、ISMS マニュアル(必須ではない)、適用宣言書、管理規程関連(必須ではない)、管理手順書関連(必須ではない)、記録/様式」があります。これらを作成するには、業務の負荷や管理コストも考慮し、運用可能な文書数に留める工夫することが求められます。
そこで今回は、ISMS文書の基本構成や情報区分、作成文書一覧を解説します。
目次
ISMS文書の基本構成
ISMSの要求事項には、文書の形式や体系などの詳細は求められていません。そのため、自社に適した項目で作成することが可能です。
一般的なISMS文書の基本階層は以下の4つになっています。
| 基本階層 | 階層構成名 | 具体例 |
|---|---|---|
| 第1層 | 基本方針 | 情報セキュリティ方針、適用宣言書 |
| 第2層 | 管理規程 | 情報セキュリティ運営管理規程、内部監査管理規程など |
| 第3層 | 管理手順 | 具体的な手順や注意点を示したマニュアルなど |
| 第4層 | 様式/記録 | 日々の運用記録など |
文書化した情報を体系化しておくことで、従業員がスムーズに情報を検索できます。また、手順書を作成する際には、従業員が欲しい情報を明確に理解できる内容を心がけ、従業員が利用しやすい状態で運用することが重要です。
ISMS文書の分類1:ISO/IEC27001が要求する情報
ISMS文書は、「ISO/IEC27001が要求する情報」と「情報セキュリティの管理策に関する文書」の2つの観点から分類されています。
ここでは、「ISO27001が要求する情報」として、ISMSを構築・運用するフレームワークに関する文書を紹介します。
ISMS方針に関する文書
ISMS方針とは、ISMS構築の根幹となる情報です。
例えば、最近ではホームページに記載することも増えた「情報セキュリティポリシー」や「適用宣言書」があります。これらの文書は、ISMSを構築するうえで最上位の宣言となっており、自社の情報セキュリティにおける方針を定めたものです。
リスクマネジメントに関する文書
マネジメントシステム を構築する際、情報セキュリティにおけるリスクマネジメント は欠かせません。ISO27001におけるリスクマネジメントでは、自社の情報資産を特定し、それぞれの情報資産におけるリスクを分析・評価したうえでリスクへの対応を検討するリスクアセスメントを実施します。
これらの手順において、方針から規定、手順書までを文書として記載することが必要です。
内部監査に関する文書
構築したマネジメントシステムが、ISO27001の要求事項に適合しているか、有効に機能しているかを自社内部で確認するのが内部監査です。
内部監査を実施する際には、内部監査の実施記録を残す必要があります。実施する際のチェックリストと併せて保存することで、前回からの内部監査との比較が可能になります。
マネジメントレビューに関する文書
マネジメントレビュー は、トップマネジメントが現状のマネジメントシステムをこれまでの運用記録や内部監査の結果をもとに判断し、次の改善指示を出すことです。その際に、どのような評価をするのか、どのような指示を出したのかという方針を記録として作成します。
ISMS文書の分類2:情報セキュリティの管理策に関する文書
ここでは、「情報セキュリティの管理策に関する文書」を紹介します。
「情報セキュリティの管理策に関する文書」は、組織の持つ情報の機密性
・完全性
・可用性を高めるための方法に関する文書です。そのため、組織により文書化の必要性の有無が異なる場合があるため、文書化は組織に委ねられています。
情報資産の管理に関する文書
ISMSの目的ともいえる情報資産の保護のために、情報資産の管理を目的とした利用手順や利用記録などを残しておくことが望まれます。
そもそもの情報資産の定義や分類についても文書にしておくことで、いつでも見返せるようになります。また、情報資産台帳もこの分類に含まれます。
アクセス制御に関する文書
仕事をするうえで、情報資産へのアクセスは欠かせません。情報資産へのアクセスには、システム上のアクセスと物理的なアクセスがあります。それらをアクセスする際には、アカウントによってアクセス制御を定めることが必要です。
そのため、システム上のアクセス制御としてサーバー管理、暗号化、ログ監視、物理的なアクセス制御として社内の情報資産保管場所への出入りの記録などのログや記録を残すことが求められます。
委託先管理に関する文書
情報資産を第三者に渡す場合には、委託先を管理することが求められています。
委託先の管理方法として、方針や規定、委託先管理台帳を文書として揃えることが望ましいとされています。
そして、その文書をもとに委託先の選定や契約、管理を行うことで情報セキュリティの一貫性をもたせます。
事業継続管理に関する文書
ISO27001では、天災や事故といった不慮の事態に見舞われた際にも事業を継続できるように、情報セキュリティの維持管理を勧めています。
平時の備えやリスクアセスメントについて文書化するとともに、有事の際の事業継続計画における方針や規定、手順書を定めます。どのような対応を行うのかを具体的に決めておく例が増えています。
ISO/IEC27001の要求事項に基づいた文書管理とは
ISO27001で文書化が必要な情報の分類や具体例について解説してきましたが、どのように作成する必要があるのでしょうか。ここでは、ISO/IEC27001の要求事項に基づいた文書管理について解説します。
【7.5.3.1:文書化した情報一般】
「7.5.3.1:文書化した情報一般」では、以下の文書の作成を求めています。
- 規格が要求する文書化した情報
- ISMSの有効性のために必要であると組織が決定し、文書化した情報
これらは、この記事で紹介した「ISO/IEC27001が要求する情報」と「情報セキュリティの管理策に関する文書」のことです。
「情報セキュリティの管理策に関する文書」の程度は、以下の理由でそれぞれの組織で異なる場合があるとも定めています。
- 組織の規模,並びに活動,プロセス,製品及びサービスの種類
- プロセス及びその相互作用の複雑さ
- 人々の力量
そのため、自社にある無数の情報の中から、どの情報を文書化するのが必要かどうかを見極めることが大切です。余剰な文書化は、管理を煩雑にして従業員の負担になりかねません。文書化する情報範囲や形式などでお悩みの場合には、コンサルタントに依頼するのも一つの手といえるでしょう。
【7.5.3.2:作成および更新】
「7.5.3.2:作成および更新」では、文書の作成や更新時に行うべきことが記されています。
適切な識別及び記述
文書化した情報には、タイトルや作成・更新した日付、作成者・承認者、参照番号などを記載する。
適切な形式
文書化する情報は、適切な媒体(紙や電子データ)で、適切な形式(言語や図表など)で作成する。
適切なレビューと承認
作成する文書は、適切なレビューと承認を受けて決定される。一般的に、文書体系の階層によって作成→審査→承認と承認ルールを定めることが多い。
【管理規定別】作成文書一覧
最後に、ISMS文書管理で作成することが一般的な主な文書についてまとめました。
以下の文書は、すべてが作成必須ではありません。ISMSの要求事項に則った文書管理を行う際に、必要な文書を検討する際に参考にしてください。
| 管理規定 | 管理内容/関連文書 | |
|---|---|---|
| 1 | 情報セキュリティ基本方針 | 情報セキュリティポリシー |
| 2 | 適用宣言書 | ISO/IEC27001附属書Aで選択(あるいは除外)した管理策が明確にわかる文書 |
| 3 | ISMSマニュアル | ISO/IEC27001要求事項に準拠し、企業/組織の情報セキュリティへの取り組みについて規定 |
| 4 | 文書管理規程 |
|
| 5 | 是正処置管理規程 | 是正処置に関する文書 |
| 6 | 内部監査管理規程 | 内部監査員の登録情報や、内部監査の計画・実施内容など内部監査に関する文書 |
| 7 | 情報セキュリティ運営管理規程 | ISMSの確立および運用維持における推進体制や、情報セキュリティ目的・計画、情報の分類など、情報資産の管理に関する文書 |
| 8 | 人的セキュリティ管理規程 | 機密保持誓約書個人情報取扱同意書力量管理に関する文書教育計画・教育実施記録 |
| 9 | セキュリティ・インシデント管理規定 | セキュリティ・インシデント報告書 |
| 10 | 物理的・環境的管理規程 |
|
| 11 | 通信・運用管理規程 | 運用の手順や責任、マルウェアからの保護、情報のバックアップ、ログ取得・監視等に関する文書 |
| 12 | システム管理規定 | ユーザーアカウントやサーバー管理や、社内ネットワーク接続、マルウェア対策、媒体の暗号化、データのバックアップ、システムのログ監視などに関する記録や文書 |
| 13 | システム利用規定 | パソコンのセキュリティ対策やマルウェア対策、媒体の暗号化、電子メールやWebサービス利用におけるセキュリティ対策などに関する文書 |
| 14 | 撮影機能付きデバイス管理規定 | スマートフォンやデジタルカメラなどの撮影機能付きデバイスの管理規定 |
| 15 | 適合性管理規程 | 法的及び契約上の要求事項の順守や、情報セキュリティのレビューに関する文書 |
| 16 | 事業継続管理規程 | 事業継続マネジメントにおける情報セキュリティ継続や冗長性に関する文書(事業継続計画、事業継続リスクアセスメント評価等) |
| 17 | 外部委託先管理規程 | 委託先の選定・契約・管理に関する文書 |
| 18 | リスク管理規程 | 情報セキュリティリスクアセスメントの計画・特定/分析・評価、リスク対応に関する記録や文書 |
| 19 | ネットワーク管理規定 | ネットワークセキュリティや情報の転送、情報システムのセキュリティ要求事項等に関する文書 |
まとめ
ISO27001では文書の作成が求められています。ただし、すべての要求事項において必要なわけではなく、企業ごとに作成するかどうかはある程度委ねられています。
大切なのは、自社が事業活動する中で情報セキュリティの3要素である機密性・完全性・可用性を担保するための文書になることです。そのため、自社の従業員が利用しやすいように、実情に合う形式や書式になるよう工夫しましょう。
「自社に合った文書作成がわからない」という場合には、コンサルティング会社にアドバイスを依頼することも一つの手です。まずは豊富な実績があるISOプロにお気軽にお問い合わせください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい