ISMSマニュアルがなくても、個別に要求する「文書化した情報」が規定や手順書や記録として残ればよいのでしょうか。
「ISMSサンプル集」には、ISMSマニュアルがあります。
ISMSマニュアルは ISMS全体を記述したものだと思います。
しかし、資料の中の「要求事項理解のためのガイド」のP.46で、文書化した情報には、JIS Q 27001が要求する「文書化した情報」一覧があり、この中には、ISMSマニュアルに該当するような全体を記述するものはありません。
ISMS構築の際に、ISMSマニュアルがなくても、個別に要求する「文書化した情報」が規定や手順書や記録として残ればよいのでしょうか。
ISMSマニュアルは、組織の情報セキュリティマネジメントシステムについての要求事項を記した文書。いわゆる、ISO/IEC 27001の要求事項に対して、組織がどのように対応しているかを示す文書となります。
ご指摘のとおり、ISO/IEC 27001ではISMSマニュアルを作成することは要求されていないため、ISO/IEC 27001の「7.5 文書化した情報」の「7.5.1 一般」に基づく文書化した情報(規程書や手順書、記録など)があれば、問題はありません。
ちなみに、要求されている「文書化した情報」(規格で要求されているもの)以外にどのような文書化した情報が必要かを判断するのは、組織の裁量であり責任とされています。
これは組織毎に必要な程度は異なるため、「7.5.1 一般」の注記に列挙されている要因を参考とすることが基本となります。
なお、ISMS以外の目的で作成されていない「既存の文書(社内規定や手順書、契約書など)」も、「文書化した情報」として利用することも可能です。
ISMSマニュアルが作られるようになった経緯
ISMSマニュアルが作られるようになったのは、ISO9001の影響もあったと思われます。
ISO9001:2005(JIS Q 9001:2006)では、文書化に関する要求事項に、「品質マニュアル」の作成が要求されていました。
4.2 文書化に関する要求事項
4.2.1 一般
品質マネジメントシステムの文書には,次の事項を含めなければならない。
- b) 品質マニュアル
※「ISO9001:2008(JIS Q 9001:2008)」より
また、用語としても「組織の品質マネジメントシステムを規定する文書」として定義されていました。
3.7.4 品質マニュアル(quality manual)
4.2.1 一般
組織の品質マネジメントシステムを規定する文書。
※「ISO9000:2005(JIS Q 9000:2006)」より
ISMSにおいては、当初、品質マニュアルに該当するようなマネジメントシステムを規定する文書がなかったため、ISO9001と同じように「ISMSマニュアル」という文書を作り、規格要求事項への対応などを明確するなどの目的で作成されていました。
4.3 文書化に関する要求事項
4.3.1 一般
ISMS文書には,次を含めなければならない。
- a) 文書化したISMS基本方針及び目的
- b) ISMSの適用範囲
- c) ISMSを支える手順書及び管理策
- d) リスクアセスメントの方法の記述
- e) リスクアセスメントの報告
- f) 情報セキュリティのプロセスを有効に計画,運用及び管理することを確実にするために,組織が必要とする文書化した手順。管理策の有効性をどう測定するかを記述するために,組織が必要とする文書化した手順。
- h) この規格が要求する記録
- i) 適用宣言書
※「ISO/IEC 27001:2005(JIS Q 27001:2006)」より
ISMSマニュアルが今でも作成されている理由
その後、ISO9001:2015(JIS Q 9001:2015)では、規格の全体的な構造及び主要な要求事項、用語及び定義は、「ISO/IEC 専門業務用指針-第1 部:統合版ISO 補足指針」の附属書SLに従うように改正されました。
この改正は、他のマネジメントシステム規格(例えば,ISO 14001,ISO/IEC 27001,ISO 39001など)と細部を除いて一致するようになりました。
これに伴い、ISO9001からも「品質マニュアル」も要求事項から無くなりました。
A.6 文書化した情報
JIS Q 9001:2008 は,“文書”,“文書化された手順”,“品質マニュアル”,“品質計画書”などの特定の用語を用いていたが,この規格では,“文書化した情報を維持する”という要求事項として規定している。
※「ISO9001:2015(JIS Q 9001:2015)」より
なお、この時点では、用語の定義(ISO9000)としては残っていましたが、「品質マネジメントシステムを規定する文書」から「品質マネジメントシステムについての仕様書」へと変更されました。
3.8.8 品質マニュアル(quality manual)
組織の品質マネジメントシステムについての仕様書。
注記 個々の組織の規模及び複雑さに応じて,品質マニュアルの詳細及び書式は変わり得る。
3.8.7 仕様書(specification)
要求事項を記述した文書
※「ISO9000:2015(JIS Q 9000:2015)」より
ISMSにおいても、先述のISO9001の流れの通り、2013年改正において、附属書SLを適用するようになりました。
なお、この改正により、ISO27001要求事項とISO9001要求事項の親和性は、より高まるようになりました。
2 今回の改正の趣旨
- b) 附属書SL を適用し,MSS の上位構造,共通の細分箇条題名,共通テキスト並びに共通の用語及び中核となる定義に基づいて,原案を作成する。
※「ISO/IEC 27001:2013(JIS Q 27001:2014)」より
規格の改正により、ISO9001において「品質マニュアル」の要求事項がなくなり、ISO27001においても、もともとISMSマニュアルに関する要求事項及び用語の定義もないため、「ISMSマニュアル」が無くても良い状態にありながら、要求事項の親和性の高まりにより、「ISMSマニュアル」もマネジメントシステムの仕様書として意味を持つようになりました。
サンプル文書集で「ISMSマニュアル」を作成している理由
【理由1】要求事項への適合確認
ISMSマニュアルのようなISMS全体を記述した文書(マネジメントシステムを規定した文書)がない場合、ISMSに関わる文書類が、ISO27001要求事項をどのように満たしているのかを確認する、または審査などで説明する際に困難を生ずる可能性があるため。
【理由2】用語の定義
直接的には書かれていませんが、ISO/IEC 27000:2018(情報セキュリティマネジメントシステム-概要及び用語)の「文書化した情報」の注記では、文書化した情報が扱うものの例に「関連するプロセスを含むマネジメントシステム」があげられており、実質としてマニュアルを指していることが読み取れるため。
3.19 文書化した情報(documented information)
注記2 文書化した情報には,次に示すものがあり得る。
- - 関連するプロセスを含むマネジメントシステム
- - 組織の運用のために作成された情報(文書類)
- - 達成された結果の証拠(記録)
※「ISO/IEC 27000:2018(JIS Q 27000:2019)」より
【理由3】既にISMSを取得している組織への対応
既にISMSを取得されている組織では、多くの場合、ISMSマニュアルを作成されていることが多いため、規格更新への対応(変更点や要求事項への対応例など)を考慮して、ISMSマニュアルを作成しているため。
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
