ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「通信・運用管理規程/2運用手順及び責任/2.1操作手順書」についてですが、情報処理設備の運用手順の文書化ということでしょうか。

2021/09/07

「通信・運用管理規程/2運用手順及び責任/2.1操作手順書」の規定について質問です。

情報処理設備の運用手順を文書化しなければならないという理解でよろしいでしょうか。

この「情報処理設備」の対象設備はどのようなものが当たるのですか。

弊社では、サーバーを所有せず、AWSを利用しています。また、市販のノートパソコンを使用しています。ほかにルーターくらいが考えられる情報処理設備です。

ノートパソコンやルーターのメーカが提供している取扱説明書か操作マニュアルに従い、別途手順書を文書化しないことはよろしいでしょうか。

ISO27002:2014の「12.1.1 操作手順書」の「実施の手引き」には、以下のように記載があります。
よって、ご質問の解釈で良いかと思います。

情報処理設備及び通信設備に関連する操作

(例えば,コンピュータの起動・停止の手順,バックアップ,装置の保守,媒体の取扱い,コンピュータ室及びメールの取扱いの管理・安全)の手順書を作成することが望ましい。

まず必要なのが、業務で利用している設備(サーバやPCなど)の「メーカの取扱説明書の活用」や必要に応じて「手順書を作る」ということです。

例えば、社内の機器を管理している人が1人しかおらず、管理のための手順書なども一切作られていない状態ならば、とても危険と言えます。

なぜなら、仮にその人が何らかの事情で急に会社に出社できなくなった時、誰も対応する人がいないからです。

このようなリスクを低減するための管理策だと思います。