ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「通信・運用管理規程」2.1 操作手順書の「手順書作成時には8項目を考慮する」について

08.01.2017 | ISMSサンプル文書集.  1,417 views

ISMS_認証取得支援パッケージを使用して、文書審査を受けました。

審査員に「ISMS-B11 通信・運用管理規程」2.1項に記載がある操作手順書の「手順書作成時には8項目を考慮する」については、「8項目の手順書が必要と同義語かと思われる」と言われ、登録審査までに(1)~(8)の手順書を作成する様に指摘されました。

8項目の中には手順書にし難い内容の物もあるので、何かサンプルがあれば教えて下さい。
あるいは、2.1項を文書審査後の今から改訂するのは難しいのでしょうか?

「通信・運用管理規程」の「2.1操作手順書」に関してですが、これはお客様の組織にある情報処理設備及びシステム等を取扱う際に利用される手順書(サンプル文書以外のお客様独自の文書)のことを指しております。
よって、サンプルに関しては、当店ではご用意しておりません。
申し訳ありません。

箇条(1)~(8)の項目に関してですが、これらは、JIS Q 27002(情報セキュリティ管理策の実践のための規範)の「12.1.1 操作手順書」の「実施の手引」に示されている箇条を参考したものです。

「12.1.1 操作手順書」では、「情報処理設備及び通信設備に関連する操作(例えば、コンピュータの起動・停止の手順、バックアップ、装置の保守、媒体の取扱い、コンピュータ室及びメールの取扱いの管理・安全)の手順書を作成することが望ましい。」となっており、それらの操作手順に記載することが望ましい事項として、当サンプル文書集においても箇条(1)~(8)を記載させていただいております。

なお、この箇条(1)~(8)は、JIS Q 27001の附属書Aでは要求されておらず、手順書作成時に考慮(物事を判断する際にさまざまな要素を考え合わせる意)する事項であり、必ずしも全てが手順化されるべき事項でありません(手順書によっては記載が必要な場合もあります)。
そのため、指摘の「手順書が必要と同義語」に対してですが、以下のような対応が考えられます。

  • 箇条(1)~(8)を削除して「基幹システムや機器類等の付属書または操作マニュアル等に従う操作を行う。」などと記載し、削除した理由(手順書を作成しない理由)等を現地審査にて説明する。
  • 既定の操作マニュアルなどに加え、箇条8項目に関して記載した操作の共通手順書として、該当する手順の場合への適応するものとして作成する。