外部文書は、社内の承認者は何に基づいて承認を行うですか。
ISMSの外部文書の文書化について質問です。
COM-B01-1-D02外部文書管理台帳の記入例では、法令やISMSの関連規程などの外部文書が記載されています。
この外部文書は主に外部ウェブサイトで提供されている法令や規程類ですが、社内の承認者は何に基づいて承認を行うですか。
また、保管に関しまして、外部のウェブサイトのオンラインデータがメインですが、wordに落としてPDFとして作成してから保管しなければならないですか。
外部文書に関連する要求事項としては、「7.5.3 文書化した情報の管理」の以下の文書になります。
『ISMSの計画及び運用のために組織が必要と決定した外部からの文書化した情報は,必要に応じて,特定し,管理しなければならない。』
まず、「何に基づいて承認を行うのですか。」に関してですが、これは上記のとおり、組織で「ISMSの計画及び運用上、必要と決定した(判断された)」ものかどうかになります。
この決定(判断)に関しては、具体的な要求はないため、組織のどのように判断したかという根拠があれば問題ないということになります。
なお、サンプル文書集の記入例にある規格や法令などは、「5.31 適用法令及び契約上の要求事項の特定」にも関係するため、必要かと思われます。
次に、「wordに落としてPDFとして作成してから保管しなければならないですか。」に関してですが、これはオンラインでも電子媒体でも構いません。
ここで必要となるには、必要な文書の必要な版が、確実に入手できるように管理することとなります。
以上、ご参考下さい。
