ISMSマニュアルがなくても、個別に要求する「文書化した情報」が規定や手順書や記録として残ればよいのでしょうか。
「ISMSサンプル集」には、ISMSマニュアルがあります。
ISMSマニュアルは ISMS全体を記述したものだと思います。
しかし、資料の中の「要求事項理解のためのガイド」のP.46で、文書化した情報には、JIS Q 27001が要求する「文書化した情報」一覧があり、この中には、ISMSマニュアルに該当するような全体を記述するものはありません。
ISMS構築の際に、ISMSマニュアルがなくても、個別に要求する「文書化した情報」が規定や手順書や記録として残ればよいのでしょうか。
ご指摘のとおり、ISO27001ではISMSマニュアルを作成することは要求されていません。
ISO27001で要求されている「文書化した情報」とは、規格で要求されているもの以外にどのような文書化した情報が必要かを判断するのは、組織の裁量であり責任とされています。
よって、組織毎に必要な程度は異なるでしょうから、「7.5.1 一般」の注記に列挙されている要因を参考とすることが基本となります。
また、ISMS以外の目的で作成されている既存の文書なども利用すること可能です。
ISMSマニュアルは、ISO9001の影響もあったのではないでしょうか?
しかし、ISOが実施した、ISO9001やISO27001などのISOマネジメントシステム規格の整合性を確保したISO/IEC専門業務用指針の附属書SL(内「共通テキスト」)の影響で、2015年に改訂されたISO9001においても、「品質マニュアル」の要求事項への記述がなくなりました。
ただ、本サンプル文書集では、以下のような理由により、「ISMSマニュアル」を収録させていただいております。
【理由1】要求事項への適合確認
ISMSマニュアルのようなISMS全体を記述した文書がない場合、上記のようなにISMSに関わる文書類が、ISO27001要求事項をどのように満たしているのかを確認する、または審査などで説明する際に困難を生ずる可能性があります。
【理由2】用語の定義
直接的には書かれていませんが、ISO27000(情報セキュリティマネジメントシステム-用語)の「2.23 文書化した情報」の注記2では、文書化した情報が扱うものの例に「関連するプロセスを含むマネジメントシステム」があげられており、実質としてマニュアルを指していることが読み取れます。
———-
2.23
文書化した情報(documented information)
組織(2.57)が管理し,維持するよう要求されている情報,及びそれが含まれている媒体。
注記1 文書化した情報は,あらゆる形式及び媒体の形をとることができ,あらゆる情報源から得ることができる。
注記2 文書化した情報には,次に示すものがあり得る。
- 関連するプロセス(2.61)を含むマネジメントシステム(2.46)
- 組織の運用のために作成された情報(文書類)
- 達成された結果の証拠(記録)
【理由3】既にISMSを取得している組織への対応
既にISMSを取得されている組織では、多くの場合、ISMSマニュアルを作成されていることが多いため、規格更新への対応(変更点や要求事項への対応例など)を考慮して、ISMSマニュアルを作成しています。
