ISMSサンプル文書の中で、どこか省けるところはないのでしょうか。
今回、10名程度のIT開発会社でISMSを導入したいのですが、ISMS文書量や情報資産洗い出し、リスク分析 適用宣言までとてもとてもボリュームがありすぎて、少々お手上げです。
大きな会社なら人員もおり、ISMS構築も進むのでしょうが、小さな会社でISMS認証を取得する場合に、本当に御社の提供される文書や方法のすべてを実施する必要があるのでしょうか。
どこか省けるところはないのでしょうか。
ISMSサンプル文書集は、全部必須ではなく、省略できる部分もあります。
ISMSサンプル文書集は、ISMSで作成する規程書や様式をできるだけ具体的に示すことを目的としており、そのため文書量(ボリューム)が多いかもしれません。
ISO/IEC 27001(JIS Q 27001)の要求事項に関わる文書は削れませんが、「組織が有効性維持に不要と判断した補助的文書」や「適用宣言書で除外した管理策に関する文書」は、省略することが可能です。
例えば、省略・簡略化できる可能性がある文書としては、以下のようなものがあります。
【省略・簡略化が可能であるISMS文書】
- 補助的な台帳類
かぎ管理台帳、外部記憶媒体管理表、ライセンス管理台帳など、組織の業務に不要なら作成義務はなし。 - 教育計画や記録の詳細版
年間教育計画書・実施記録は必須ですが、細かいチェックリスト形式でなくてもよい。 - 管理策に対応する文書
適用宣言書で「除外」とした管理策に関する文書は省略可能です。 - 詳細な一覧表類
文書一覧表、利害関係者一覧表などは便利ではあるが必須ではない。他の文書で十分に説明できれば省略可能。
実務的な整理のポイントとしては、以下のとおりです。
- 必須文書(規格要求)と補助文書を分ける
- 適用宣言書で除外した管理策に関連する文書は作らない
例えば、物理的セキュリティを外部委託している場合、自社で詳細な施設管理規程は不要。 - 記録は「証跡」として最低限残す
監査・レビュー・是正処置は必ず残す。
なお、情報資産の洗い出しやリスク分析、適用宣言書までの作業(リスクアセスメント関連)は、初回では、洗い出す情報資産の量も多いため、小規模な組織でも一定の労力が必要となります。
しかし、2回目以降は、追加や変更があった情報資産が対象となるため、作業量の負担も徐々に減っていくことになります。
ISMSサンプル文書集で必ず必要な文書(ISO/IEC 27001が要求している)
まず、ISO/IEC 27001規格にて要求されている文書(文書化した情報)に関しては、必ず文書化する必要があります。
ISO/IEC 27001:2022(JIS Q 27001:2023)規格が要求している文書は、以下のものになります。
【ISO/IEC 27001:2022(JIS Q 27001:2023)規格が要求している文書】
- ※ISO/IEC 27001:2022(JIS Q 27001:2023)にて「文書化した情報」および「文書化」、「作成」が要求されている事項。
- ※( )内は、ISO/IEC 27001:2022(JIS Q 27001:2023)の要求事項の項番。Aは附属書Aの略。
- 情報セキュリティマネジメントシステムの適用範囲(4.3)
- 情報セキュリティ方針(5.2)
- 情報セキュリティリスクアセスメントのプロセスについての文書(6.1.2)
- 適用宣言書(6.1.3)
- 情報セキュリティリスク対応のプロセスについての文書化(6.1.3)
- 情報セキュリティ目的及びそれを達成するための計画(6.2)
- 力量の証拠(7.2)
- プロセスが計画どおりに実施されたという確信をもつために必要とされる文書(8.1)
- 情報セキュリティリスクアセスメント結果(8.2)
- 情報セキュリティリスク対応結果(8.3)
- 監視測定,分析及び評価の結果(9.1)
- 内部監査プログラムの実施及び監査結果の証拠(9.2.2)
- マネジメントレビューの結果(9.3.3)
- 不適合の性質及びそれに対して講じたあらゆる処置(10.2)
- 是正処置の結果(10.2)
- 資産の目録情報及びその他の関連資産の目録(A 5.9)
- 情報及びその他の関連資産の許容される利用に関する規則及び取扱手順(A 5.10)
- 情報セキュリティインシデントヘの対応(A 5.26)
- 法令,規制及び契約上の要求事項(A 5.31)
- 情報処理設備の操作手順(A 5.37)
- 秘密保持契約又は守秘義務契約(A 6.6)
- ハードウェア,ソフトウェア,サービス及びネットワークのセキュリティ構成を含む構成(A 8.9)
- システムアーキテクチャ及びシステム構築の原則(A 8.27)
これらの要求事項で求められる文書に該当するISMSサンプル文書集(規程書および様式)が、以下のようになり、最低限作成すべき文書となります。
| 規格が要求している文書(文書化した情報) | ISMSサンプル文書集の該当文書 |
|---|---|
| 情報セキュリティ方針(5.2) | 情報セキュリティ基本方針書 |
| 情報セキュリティマネジメントシステムの適用範囲(4.3) | 適用範囲関連資料 |
| 情報セキュリティリスクアセスメントのプロセスについての文書(6.1.2) | リスクマネジメント管理規程 |
| 資産の目録情報及びその他の関連資産の目録(A 5.9) | リスクマネジメント管理規程 ・情報資産台帳 |
| 適用宣言書(6.1.3) | リスクマネジメント管理規程 ・適用宣言書 |
| 情報セキュリティリスクアセスメント結果(8.2) | リスクマネジメント管理規程 ・脅威一覧表 ・リスクグループ分析対策表 ・ギャップ分析対策表 |
| 情報セキュリティリスク対応結果(8.3) | リスクマネジメント管理規程 ・リスクグループ分析対策表 ・リスク対応計画書 |
| 情報セキュリティ目的及びそれを達成するための計画(6.2) | 情報セキュリティ運営管理規程 ・年間情報セキュリティ計画書 ・年間情報セキュリティ目標 |
| プロセスが計画どおりに実施されたという確信をもつために必要とされる文書(8.1) | 情報セキュリティ運営管理規程 ・年間情報セキュリティ計画書 |
| 情報及びその他の関連資産の許容される利用に関する規則及び取扱手順(A 5.10) | 情報セキュリティ運営管理規程 ・10.3 情報の取扱い手順 |
| 秘密保持契約又は守秘義務契約(A 6.6) | 人的セキュリティ管理規程 ・3 雇用条件 ・誓約書 ・7.2 外部組織との契約書に記載するセキュリティ要件事項 |
| 力量の証拠(7.2) | 人的セキュリティ管理規程 ・力量評価表 ・力量認定要件表 ・教育・研修アンケート 内部監査管理規程 ・内部監査員リスト |
| 情報セキュリティインシデントヘの対応(A 5.26) | セキュリティ事件・事故管理規程 ・4.2 情報セキュリティインシデントへの対応 ・セキュリティ事件・事故報告書 |
| ハードウェア,ソフトウェア,サービス及びネットワークのセキュリティ構成を含む構成(A 8.9) | 通信・運用管理規程 ・16 構成管理 ・ハードウェア管理表 ・ソフトウェア管理表 ・ソフトウェアインストール管理表 適合性管理規程 ・ライセンス管理台帳 |
| 情報処理設備の操作手順(A 5.37) | 通信・運用管理規程 ・2.1 操作手順書 |
| システムアーキテクチャ及びシステム構築の原則(A 8.27) | システムの開発および保守管理規程 ・4.2 セキュリティに配慮したシステム構築の原則 |
| 法令,規制及び契約上の要求事項(A 5.31) | 適合性管理規程 ・2.1 適用法令の識別 ・法規制管理台帳 ・法規制点検表 |
| 監視測定,分析及び評価の結果(9.1) | ISMSマニュアル ・9.1 監視,測定,分析及び評価 |
| 内部監査プログラムの実施及び監査結果の証拠(9.2.2) | 内部監査管理規程 ・年度内部監査計画書 ・個別内部監査プログラム ・内部監査報告書 ・内部監査チェックリスト |
| マネジメントレビューの結果(9.3.3) | ISMSマニュアル ・9.3.3 マネジメントレビューの結果 ・マネジメントレビュー議事録 |
| 不適合の性質及びそれに対して講じたあらゆる処置(10.2) | 是正処置管理規程 ・是正処置要求・報告書 |
| 是正処置の結果(10.2) | 是正処置管理規程 ・是正処置要求・報告書 |
ISO27001規格が要求していない文書は必要ないのか
次に、ISO/IEC27001規格が要求していない文書の中で、省略できる文書はないか。
ISO/IEC 27001規格にて要求された文書に該当しないISMSサンプル文書集の文書(規程書及び様式)には、以下のものがあります。
しかし、先述したとおり、規格で要求されていないからといって、これらの文書のすべてを省けるということにはなりません。
ちなみに、JIS Q 27001:2023の「7.5 文書化した情報」の「7.5.1 一般」では、「b) ISMSの有効性のために必要であると組織が決定した,文書化した情報」と要求されており、要は、組織として必要な文書は作りなさいと要求されています。
例えば、以下のようなものがあります。
【ISMS有効性のために必要なISMS文書】
- 規格にて要求された文書を補うために必要な文書
- リスクアセスメントの結果により必要となる文書(適用宣言書で除外していない管理策)
- 審査対応などのためのエビデンス(証拠・根拠・裏付け)のための文書
以下の規格にて要求された文書に該当しなかったISMSサンプル文書(規程及び様式)においても、これらに該当する文書となるため、組織で必要かどうかを判断する必要があります。
判断するポイントとしては、以下のとおりになります。
- リスクアセスメント結果と照合
文書がリスクの低減や管理策の実施に不可欠か。 - 既存の文書と重複がないか確認
既に自組織で同じような文書と内容が重複しておらず、既存の手順などで代用できないものか。 - 証跡・監査対応の観点
監査時に説明責任を果たすために必要か。 - 外部委託や利害関係者との契約・連携
委託先や顧客との合意事項や期待値を明確にするために必要か。 - 法令・契約・業界ガイドラインへの準拠
規格以外の法令や契約、業界標準で求められていないか。
【省略可能なISMSサンプル文書】
- 文書管理規程の関連文書と様式
- - 文書管理規程
- - 内部文書管理台帳
- - 外部文書管理台帳
- ISMSマニュアルの関連様式
- - マネジメントレビューインプット情報報告書
- - ISMS用語集
- - ISMS組織状況管理表
- リスクマネジメント管理規程の関連様式
- - 管理策有効性評価表年間計画書
- - 管理策有効性評価表
- - 管理策有効性評価結果分析表
- 情報セキュリティ運営管理規程の関連様式
- - ISMS推進体制図(見本)
- - 稟議書
- 人的セキュリティ管理規程の関連様式
- - 年間教育・研修計画表
- - 教育・研修受講記録管理台帳
- 物理的・環境的管理規程の関連文書と様式
- - 物理的・環境的管理規程
- - 入退室管理台帳
- - 重要資産持ち出し管理簿
- - 週次作業報告書
- - 月次作業報告書
- 通信・運用管理規程の関連様式
- - 運用変更申請書
- - 情報資産廃棄管理台帳
- - 作業記録簿
- アクセス管理規程の関連様式
- - アクセス管理規程
- - アカウント管理台帳
- - アカウント申請書
- - サービスアカウント利用者一覧
- システムの開発および保守管理規程の関連文書
- - システムの開発および保守管理規程
- 事業継続管理規程の関連文書と様式
- - 事業継続管理規程
- - 事業継続リスクアセスメント評価表
- - 事業継続計画書(見本)
- - 緊急連絡体制図(見本)
- - 持ち出し情報資産一覧
- - 応急処置手配品一覧
- - 事業継続計画テスト結果記録
なお、上記の【省略可能なISMSサンプル文書】の文書は、今まで審査を受けた中で、不適合とはされていないが、観察事項や推奨事項とされたため対応して作成した文書もあります。
文書を作成しない場合、受審時に観察事項や推奨事項として、審査員にコメントをもらう可能性もあります。
ちなみに、観察事項については、次回の審査時にどのように対応したかを質問されます。
規定の内容によって作成すべき文書も異なってくる
最後に、さらに省略できる部分としては、規定の記載内容を変えることでも可能です。
ISMSサンプル文書集の規程や様式に関しても、組織の規模や形態、その他の実情により、簡略化もしくは詳細に記載すべき部分もあり、どのように規定を作るかにより作る文書のボリュームも変わります。
例えば、以下のAとBは、同じ来訪者の入退室に関する規定となりますが、その文書の内容(書き方)によっては、作成する文書も変わってきます。
- A:来訪者は、受付で赤色のループクリップを着用すること。
- B:来訪者は、「入退室管理台帳」への記入及び赤色のループクリップを着用すること。
Aでは手続きが簡単な一方、記録を残さないため、問題が起こった際の原因の追跡ができません。一方、Bでは「入退室管理台帳」といった文書を作る必要はありますが、問題が起こった際の原因を追跡することが可能となります。
ISO/IEC 27001規格では、どの程度まで具体的に文書化しなければならないといった要求はないため、どちらが、自組織にとって間違いなく実施でき、かつ効果的かを考慮して、規定の内容を決めることになります。
規定の内容を決める際は、以下のことを考慮して、自組織にとって必要かどうかを判断して、作成すると良いでしょう。
- 文書がなくても、定めたルールが遵守されるか
- 必要な人間が必要な手順を実施できるよう標準化されているか
- 文書がなくても、判断ミスやオペレーションミスは起きないか
原則、ISO/IEC 27001規格で要求されている最低限の文書・記録類だけで作成したマニュアル及ぶ規程書でも審査には通ります。
しかし、それには以下のような条件が整っていることが前提となります。
【ISMS認証審査を通るための文書化に関する条件】
- 必要最低限の記載のマニュアルを許容してくれる審査機関及び審査員。
- 各従業員が、審査員の質問に対して文書化していない部分を、口頭で明確に説明できる。
- 規格の解釈が自社内で確立・共有化されおり審査員に説明できる。
ちなみに、審査では、以下のような理由から、指摘まではいかなくても観察事項として追加の手順書や様式の作成を要求されていることもあります。
自組織で納得感を持って作成した文書であれば、これらの事項に対しても、十分な対応がとれるでしょう。
- ・「無いよりか有った方がよいですよね。」
- ・「新人が入ったらどうするのですか?教育だけだと難しいですよね。」
- など
ISMSサンプル文書は、「全部やらなきゃ」と思いがちですが、「規格が要求するもの」+「組織が必要と判断したもの」だけで十分です。
台帳や一覧表などは業務に不要なら省略可能です。
以上、ご参考ください。
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
