ISMSの規程は、管理策の順番で作られているのか、様々な管理策をまとめているのか教えてください。
ISMSサンプル文書集に興味があります。
当社では管理策の順番で規程を作成しています。
以下のURLのサンプルだけでは、わからないところがあったのですが、オリジナルのくくりで、順不同で様々な管理策をまとめて規程にしているのか、管理策ベースでの並びで規程があるのか教えてください。
https://www.ismwebstore.com/products/detail/4
当店のISMSサンプル文書集は、「順不同で様々な管理策をまとめて各規程」としています。
これは、規格の管理策の並び(管理策ベース)ではなく、組織での「利用方法」や「実務のしやすさ」を優先した結果です。
その具体的な理由と、モジュール化された規程のメリットは以下の通りです。
管理策ベースでの規程作成を避ける理由
規格の管理策の並びをそのまま規程にしない主な理由は、以下の通りです。
- 規格改訂への対応負荷の軽減
- ISO/IEC 27001規格は改訂の都度、管理策の「追加」「統合」「削除」といった変更が行われることがあります。管理策ベースで規程を作成すると、改訂の度、規程書全体の「作り直し」が発生し、運用組織への負担が大きくなる可能性があります。
- 組織としての対策の継続性の確保
- 規格の改訂により管理策が削除されることもあります。しかし、たとえ旧規格で規定していた管理策が、改訂後の規格から無くなったとしても、組織のセキュリティレベル維持のために必要であれば、その管理策を組織の規程から削除することはありません。
- 実務上の必要性や継続性を重視する上で、規格の並びに縛られず、関連性が高い管理策ごとにまとめる方が合理的と考えられます。
- 実務との整合性(利用者にとっての分かりやすさ)
- 例えば、旧規格で「雇用」などと同じ括りだった管理策が、改訂後「組織的管理策」に移動することがありますが、旧規格から対策を実施している組織にとっては、これまで通り「雇用」などの同じ並びで適用した方が、実務上の流れや利用者にとって分かりやすい場合があります。
- 規格と規定の目的の違い
- 規格の管理策は、組織的、人的、物理的、技術的の4つのテーマに分類をしているだけであり、規定として利用する際の実務的なカテゴリー分けとは異なるためです。
- 組織的、人的、物理的、技術的の4つの管理策のテーマは互いに排他的ではなく、管理策によっては複数のテーマに関係する場合もあるためです。
目的別(モジュール化)規程のメリット
目的ごとに規程書を「モジュール化」(機能ごとに別々にまとめる)して管理策を規定することで、以下のメリットが得られます。
- 組織の実態に合わせた利用
- 関連性が高い管理策をまとめることで、組織の実態や業務フローに合った形で管理策を適用・利用できます。
- 利便性の向上と管理負荷の軽減
- 1つの規程書に統合する場合に比べ、規程書の枚数が減り、該当箇所を探す時間が短縮されます。
- また、変更の際の履歴管理が容易になり、管理負荷が軽減されます。
- 様式(フォーマット)との関連付け
- 目的ごとに規程書を作成し、様式に識別番号をつけることで、どの規程書に関連する様式なのかが一目瞭然になり、PC上での参照・検索(ソート)も容易になります。
規格との照合について
ISO/IEC 27001規格では、附属書Aに示す管理策との比較として、「適用宣言書」を作成することが求められています。よって、規格の管理策との対応関係を確認する必要がある場合は、「適用宣言書」を参照することで、照合することが可能です。
【結論】
当店のISMSサンプル文書集は、ISO/IEC 27001の要求事項を確実に満たしつつも、旧規格からの改訂への対応、及びお客様の組織で実際に「使いやすく」「改訂にも柔軟に対応できる」ことを最優先し、目的ごとに必要な管理策をまとめたモジュール型の規程として提供しております。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
