ISMSサンプル文書の中で、どこか省けるところはないのでしょうか。
今回、10名程度のIT開発会社でISMSを導入したいのですが、ISMS文書量や情報資産洗い出し、リスク分析 適用宣言までとてもとてもボリュームがありすぎて、少々お手上げです。
大きな会社なら人員もおり、ISMS構築も進むのでしょうが、小さな会社でISMS認証を取得する場合に、本当に御社の提供される文書や方法のすべてを実施する必要があるのでしょうか。
どこか省けるところはないのでしょうか。
まず、ご提供しております「ISMSサンプル文書集」は、ISMSで規定などを作る際のサンプルを示したものであります。
そのため、サンプル文書に記載していることが全て必要というわけではないこと、あらかじめご了解のほど、よろしくお願いします。
組織でISMS文書を作成する際は、その文書が本当に必要かどうかを十分検討することが重要です。
その判断基準として、以下のことを考慮してみてください。
① ISO27001規格要求事項上、文書が必要な範囲は作る。
規格上で文書の作成を求められているものは、必ず作りましょう。そうしなければ審査の際、不適合を指摘されます。
ちなみに、JIS Q 27001:2014 で、「文書化した情報」を明確に記載している部分は、以下のとおりです。
規格要求事項を参照しながら確認してみてください。
【JIS Q 27001:2014が要求する「文書化した情報」】
4.3 ISMSの適用範囲
5.2 情報セキュリティ方針
6.1.2 情報セキュリティリスクアセスメントのプロセス
6.1.3 情報セキュリティリスク対応のプロセス
6.1.3 適用宣言書
6.2 情報セキュリティ目的及びそれを達成するための計画
7.2 d) 力量の証拠
7.5.3 文書化した情報の管理
8.1 運用の計画及び管理
8.2 情報セキュリティリスクアセスメントの結果
8.3 情報セキュリティリスク対応の結果
9.1 監視及び測定の結果の証拠
9.2 g) 監査プログラムの実施及び監査の結果の証拠
9.3 マネジメントレビューの結果の証拠
10.1 f) 不適合の性質及びとった処置の証拠
10.1 g) 是正処置の結果の証拠
② 組織内でISMSを運用する際に必要な文書は作る。
以下のことを考慮して、自組織にとって必要かどうかを判断して、作成してください。
・ 文書がなくても、定めたルールが遵守されるか
・ 必要な人間が必要な手順を実施できるよう標準化されているか
・ 文書がなくても、判断ミスやオペレーションミスは起きないか
③ 文書の内容の具体性については、自組織決める。
ISO27001規格では、どこ程度まで具体的に文書化しなかればならないといった要求はありません。
例えば、以下のAとBは、同じ書類を管理する規定となりますが、その具体性は異なります。
どちらが、自組織にとって間違いなく実施でき、かつ効果的かを考慮して決めましょう。
A「書類は、帰宅時には整理・整頓をすること。」
B「当社で重要と位置付けた「管理情報」と朱印がある書類は、帰宅時に必ず 各自の机もしくは指定された部門キャビネットに収納すること。」
④ 最後に
原則、ISO27001規格で要求されている最低限の文書・記録類だけで作成したマニュアル及ぶ規程書でも審査には通ります。
ただし、それには以下のような条件が整っていることが前提となります。
・必要最低限の記載のマニュアルを許容してくれる審査機関及び審査員を選定していること。
(審査機関にもよるため、事前に色々な審査機関に話を聞くことをお勧めします。)
・各従業員が、審査員の質問に対して文書化していない部分を、口頭で明確に回答できること。
(文書化されていなくても、規定としてきちんと共有できていれば、問題ありません。)
・規格の解釈が自社内で確立・共有化されおり審査員を納得させることができること。
(自組織での規格要求事項をどのように解釈し適用させているのか審査員に説明できなければ、指摘を受けることになります。)
ちなみに、以下のような理由から、指摘まではいかなくても観察事項として追加の手順書や様式の作成を要求されていることもありますので、ご参考までに。
「無いよりか有った方がよいですよね。」
「新人が入ったらどうするのですか?教育だけだと難しいですよね。」
などなど
