詳細管理策はどの文書に反映されているかが分かるようなものがありますか?
ISO27001のサンプル文書の内容について質問をさせていただければと思います。
弊社が受審している審査機関は、適用宣言書の詳細管理策の項番のところに「その詳細管理策はどの文書に反映されているか」を求めてきます。
例えば、
「A6.1.1 情報セキュリティの役割及び責任」
文書:ISM-B-007:情報セキュリティ運営管理規定
というようにです。
内容を拝見したところ、27001は項番通りにISMSマニュアルの中に入っていますが、詳細管理策は各文書に散らばっていて、詳細管理策の各項番がどこに入っているのかがよくわかりません。
詳細管理策がどの文書に反映されているかの一覧表のようなものは存在しないのでしょうか。
もし、そういう一覧表のようなものをお持ちでしたらいただければと思うのですが。
ご購入いただきました「ISMSサンプル文書集」に収録しております、
フォルダ [ISMSサンプル文書集] – フォルダ [様式(記入例)] の [ISMS-B06-D06 適用宣言書(記入例).xls]
ではいかがでしょうか?
例えば、「適用宣言書」の記入例にあります、「A.6.1.1 情報セキュリティの役割及び責任」では、「情報セキュリティ運営管理規程」の「2.2 役割及び責任」が該当することになります。
各規程書の項目にも、該当する詳細管理策の番号を付しており、適用宣言書と対比できるかと思います。
なお、適用宣言書や内部監査チェックリストなどにある「項」は、各規程書の項目を表しております。