ISMS(ISO27001)文書とは? ISMSマニュアルの役割とは?
ISMS(ISO/IEC 27001 / JIS Q 27001)を認証取得するには、ISMS (情報セキュリティマネジメントシステム)を構築したルール(規定)とその運用状況(記録)を、文書化することが求められています。
以下では、ISMS(ISO/IEC 27001 / JIS Q 27001)を認証取得する上で必要な「ISMS文書」に関して解説するとともに、「ISMSマニュアル」の役割や必要性について解説します。
ISMS文書(ISMS認証取得に必要な文書)とは
ISMS(ISO/IEC 27001 / JIS Q 27001)を認証取得する上で、必ず作成すべき文書には、どのようなものがあるのでしょうか?
ISMS認証取得の審査基準となる、ISO/IEC 27001:2022(JIS Q 27001:2023)では、7.5項の「文書化した情報」にある7.5.1項の「一般」にて、作成すべきもの文書(文書化した情報)として、以下のように要求されています。
7.5 文書化した情報
7.5.1 一般
組織のISMSは,次の事項を含まなければならない。
- a) この規格が要求する文書化した情報
- b) ISMSの有効性のために必要であると組織が決定した,文書化した情報
ちなみに、「文書化した情報」とは、「JIS Q 27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」では、次のように定義されています。
3.19 文書化した情報(documented information)
組織(3.50)が管理し,維持するよう要求されている情報,及びそれが含まれている媒体。
- 注記1 文書化した情報は,あらゆる形式及び媒体の形をとることができ,あらゆる情報源から得ることができる。
- 注記2 文書化した情報には,次に示すものがあり得る。
- - 関連するプロセス(3.54)を含むマネジメントシステム(3.41)
- - 組織(3.50)の運用のために作成された情報(文書類)
- - 達成された結果の証拠(記録)
a)項の「この規格が要求する文書化した情報」は、必ず作成しなければいけない文書となります。
これには、以下のようなものがあります。
なお、b)項は、「ISMSの有効性のために必要であると組織が決定した,文書化した情報」であるため、組織がこれら以外には文書化する必要ないと判断し、審査にてそれが認められれば、OKだということになります。
※JIS Q 27001:2023にて「文書化した情報」および「文書化」、「作成」が要求されている事項。
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
- 適用範囲は,文書化した情報として利用可能な状態にする。
5.2 方針
- トップマネジメントは,次の事項を満たす情報セキュリティ方針を確立する。
- e) 文書化した情報として利用可能である。
6.1.2 情報セキュリティリスクアセスメント
- 情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持する。
6.1.3 情報セキュリティリスク対応
- d) 次を含む適用宣言書を作成する。
- 情報セキュリティリスク対応のプロセスについての文書化した情報を保持する。
6.2 情報セキュリティ目的及びそれを達成するための計画策定
- 関連する機能及び階層において,情報セキュリティ目的を確立する。
- g) 文書化した情報として利用可能な状態にする。
- 情報セキュリティ目的に関する文書化した情報を保持する。
7.2 カ量
- d) 力量の証拠として,適切な文書化した情報を保持する。
8.1 運用の計画策定及び管理
- プロセスが計画どおりに実施されたという確信をもつために必要とされる,文書化した情報を利用可能な状態にする。
8.2 情報セキュリティリスクアセスメント
- 情報セキュリティリスクアセスメント結果の文書化した情報を保持する。
8.3 情報セキュリティリスク対応
- 情報セキュリティリスク対応結果の文書化した情報を保持する。
9.1 監視測定,分析及び評価
- 監視測定,分析及び評価の結果の証拠として,文書化した情報を利用可能な状態にする。
9.2.2 内部監査プログラム
- 監査プログラムの実施及び監査結果の証拠として,文書化した情報を利用可能な状態にする。
9.3.3 マネジメントレビューの結果
- マネジメントレビューの結果の証拠として,文書化した情報を利用可能な状態にする。
10.2 不適合及び是正処置
- 次に示す事項の証拠として,文書化した情報を利用可能な状態にする。
- n) 不適合の性質及びそれに対して講じたあらゆる処置
- g) 是正処置の結果
【附属書A】
5.9 情報及びその他の関連
- 資産の目録情報及びその他の関連資産の目録を,それぞれの管理責任者を含めて作成し,維持する。
5.10 情報及びその他の関連資産の許容される利用
- 情報及びその他の関連資産の許容される利用に関する規則及び取扱手順は,明確にし,文書化し,実施する。
5.26 情報セキュリティインシデントヘの対応
- 情報セキュリティインシデントは,文書化した手順に従って対応する。
5.31 法令,規制及び契約上の要求事項
- 情報セキュリティに関連する法令,規制及び契約上の要求事項,並びにこれらの要求事項を満たすための組織の取組を特定し,文書化し,また,最新に保つ。
5.37 操作手順書
- 情報処理設備の操作手順は,文書化し,必要とする要員に対して利用可能にする。
6.6 秘密保持契約又は守秘義務契約
- 情報保護に対する組織のニーズを反映する秘密保持契約又は守秘義務契約は,特定し,文書化し,定常的にレビューし,要員及びその他の関連する利害関係者が署名する。
8.9 構成管理
- ハードウェア,ソフトウェア,サービス及びネットワークのセキュリティ構成を含む構成を確立し,文書化し,実装し,監視し,レビューする。
8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
- セキュリティに配慮したシステムを構築するための原則を確立し,文書化し,維持し,全ての情報システムの開発活動に対して適用する。
ISMS文書の構成
ISMSは、組織で情報セキュリティマネジメントシステムを構築および運用するものです。
ただ単に、上記の要求事項だけの文書だけを作るだけでなく、組織全体として利用可能なものにしなければなりません。
よって、ISMS文書を作る際は、一般的に以下のような階層にて作成されます。
これにより、ISMSにかかわる組織全体への周知と、関連する全従業員がISMSにおける一貫した行動をとることが可能となります。
第1階層 基本方針
第2階層 管理規程
第3階層 作業手順書及び運用マニュアル
第4階層 運用の証拠を記す様式(記録)
この階層に、先ほどのISO/IEC 27001:2022(JIS Q 27001:2023)にて、「文書化した情報」の要求されている項目を当てはめると以下のようになります。
組織は、以下の要求事項を網羅した、方針および管理規程、様式を作成することで、最低限の体系的なISMS文書を構築することができます。
第1階層 基本方針
- 5.2 方針
第2階層 管理規程
- 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
- 6.1.2 情報セキュリティリスクアセスメント
- 6.1.3 情報セキュリティリスク対応
- 6.2 情報セキュリティ目的及びそれを達成するための計画策定
- A.5.9 情報及びその他の関連
- A.5.10 情報及びその他の関連資産の許容される利用
- A.5.26 情報セキュリティインシデントヘの対応
- A.5.31 法令,規制及び契約上の要求事項
- A.5.37 操作手順書
- A.6.6 秘密保持契約又は守秘義務契約
- A.8.9 構成管理
- A.8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
第3階層 作業手順書及び運用マニュアル
- (組織の実情に応じた具体的な作業を示した手順書)
第4階層 運用の証拠を記す様式(記録)
- 7.2 カ量
- 8.1 運用の計画策定及び管理
- 8.2 情報セキュリティリスクアセスメント
- 8.3 情報セキュリティリスク対応
- 9.1 監視測定,分析及び評価
- 9.2.2 内部監査プログラム
- 9.3.3 マネジメントレビューの結果
- 10.2 不適合及び是正処置
ISMSマニュアルの役割
なぜ「ISMSマニュアル」を作成するのか?
よく使われる「ISMSマニュアル」は、実はISO/IEC 27001:2022(JIS Q 27001:2023)では作成することは要求されていません。
よって、「ISMSマニュアル」は、先の7.5 文書化した情報の7.5.1 一般のb)項「ISMSの有効性のために必要であると組織が決定した,文書化した情報」に該当することになります。
一般的に、「ISMSマニュアル」は、以下のよう理由から作成されます。
- 要求事項の網羅と体系化
ISO/IEC 27001(JIS Q 27001:2023)の各章(0~10章)や附属書Aの管理策を、組織の実情に合わせて整理・文書化する必要があります。これを一元的にまとめるのがマニュアルの役割です。 - 審査対応の基盤資料
認証審査では、ISMSの運用状況や管理策の実施状況を説明する必要があります。マニュアルがないと、審査員に体系的に説明できず、認証取得が困難になります。 - 社内教育・運用の指針
従業員が情報セキュリティのルールや手順を理解し、実行するための教材としても機能します。マニュアルがあることで、教育や運用が標準化されます。 - PDCAサイクルの起点
ISMSは継続的改善が求められるため、マニュアルは「Plan」の基準となり、改善活動の出発点になります。
「ISMSマニュアル」は、ISO/IEC 27001(JIS Q 27001:2023)で要求されている事項を、体系的にまとめたものとなります。
先に記した「文書化した情報」を踏まえ、ISO/IEC 27001(JIS Q 27001:2023)要求事項への対応などを、このISMSマニュアルに規定することになります。
ISMSマニュアルだけでISMS文書となるのか
「ISMSマニュアル」を作る際、先の第1階層から第2または第3階層までを、1冊にまとめて作成することも可能です。
しかし、ISMS文書を作成していくと、リスクマネジメントにて組織に必要な管理策(情報セキュリティ対策)をつくることになります。結果として、要求事項で要求されている「文書化した情報」だけでなく、組織が必要とする文書として、第2および第3階層の文書を作ることになります。
一般的には、以下のよう文書(第2階層の文書)を参照文書として作成し、「ISMSマニュアル」を柱とした各種「管理規程」との組み合わせにより、「ISMS文書」を作ることになります。
ちなみに、以下に示した各種「管理規程」は、一般的な例を示しています。組織は、実情に応じて、既存の社内規程などと合わせ、利用しやすい管理規程を作ることをおすすめします。
※以下の管理規程の例に、該当すると思われる先の要求事項も併せて記しております。
- 情報セキュリティ方針
- – 5.2 方針
- ISMSの基本運営に関する規程(ISMS全体の運用に関する基本事項)
- – 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
- – 6.2 情報セキュリティ目的及びそれを達成するための計画策定
- – 8.1 運用の計画策定及び管理
- – 9.1 監視測定,分析及び評価
- – A.5.31 法令,規制及び契約上の要求事項
- リスクマネジメントに関する規程(リスクアセスメント及びリスク対応に関する事項)
- – A.5.9 情報及びその他の関連(アクセス制御に関する規程でも可)
- – A.5.10 情報及びその他の関連資産の許容される利用(アクセス制御に関する規程でも可)
- – 6.1.2 情報セキュリティリスクアセスメント
- – 6.1.3 情報セキュリティリスク対応
- – 8.2 情報セキュリティリスクアセスメント
- – 8.3 情報セキュリティリスク対応
- アクセス制御に関する規程(情報システムや情報へのアクセスに関するルール)
- 物理的なセキュリティに関する規程(施設や区域への入退管理及び設備や機器などに関するルール)
- – A.5.37 操作手順書
- – A.8.9 構成管理
- 人的なセキュリティに関する規程(従業員の採用から退職まで、教育訓練や懲戒などに関するルール)
- – 7.2 カ量
- – A.6.6 秘密保持契約又は守秘義務契約
- システムの開発及び保守に関する規程(情報システムの開発や導入、保守に関するルール)
- – A.8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
- 委託先に関する規程(委託先との契約、評価、管理に関するルール)
- – A.6.6 秘密保持契約又は守秘義務契約
- 情報セキュリティインシデントに関する規程(情報セキュリティの事件及び事故に関するルール)
- – A.5.26 情報セキュリティインシデントヘの対応
- 事業継続管理に関する規程(災害や事故時の事業継続計画及び情報セキュリティ維持に関する事項)
- 内部監査に関する規程(ISMSの適合性や有効性を評価する内部監査に関するルール)
- – 9.2.2 内部監査プログラム
- マネジメントレビューに関する規程(トップマネジメントによるISMS見直しに関する手順など)
- – 9.3.3 マネジメントレビューの結果
- 是正処置に関する規程(ISMSにおける不適合が発生した場合に関するルール)
- – 10.2 不適合及び是正処置
- 文書管理に関する規程(ISMS関連文書の作成や承認、改訂、保管、廃棄に関するルール)
ISMSマニュアルには、何を書くのか?
先に記した「ISMSマニュアルの役割」のとおり、ISMSマニュアルは、ISO/IEC 27001(JIS Q 27001:2023)で要求されている事項を、体系的にまとめたものになります。(「要求事項の網羅と体系化」)
よって、ISO/IEC 27001(JIS Q 27001:2023)の規格要求事項に沿った形式で、記述されることが一般的です。
目次としては、以下のようになり、各要求事項に対して、組織がどのような対応をするのか(規定)を記述することになります。
なお、先のように別の規程書にて規定している場合は、その旨を記述することになります。
【ISMSマニュアル(目次)の例】
1 適用範囲
1.1 目的
1.2 適用
2 引用規格
3 用語の定義
4 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
5 リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割,責任及び権限
6 計画策定
6.1 リスク及び機会に対処する活動
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画策定
6.3 変更の計画策定
7 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化した情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化した情報の管理
8 運用
8.1 運用の計画及び管理
8.2 情報セキュリティリスクアセスメント
8.3 情報セキュリティリスク対応
9 パフォーマンス評価
9.1 監視,測定,分析及び評価
9.2 内部監査
9.2.1 一般
9.2.2 内部監査プログラム
9.3 マネジメントレビュー
9.3.1 一般
9.3.2 マネジメントレビューヘのインプット
9.3.3 マネジメントレビューの結果
10 改善
10.1 継続的改善
10.2 不適合及び是正処置
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
