オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得／更新のお手伝いをしています。担当者の皆様自身に情報セキュリティに関する様々な知識やコツを身に付けていただいて、皆様の会社自体が成長していただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

ISMSで作成する文書についてご存じですか？

情報セキュリティを管理するためのシステムである、ISMS。

ISMS規格では、様々な文書を作成することが要求されています。

今回の記事では、

という内容を解説していきます。

文書化した情報とは？

「文書化した情報」とは、簡単に言うと「書類や記録のこと」です。ISO 27001のような規格では、組織がきちんと情報を管理していることを証明するために、いろいろなことを文書にまとめておく必要があります。なお、文書、という表現がされますが、画像や動画、音声記録などで保存しても構いません。

ISMS文書の分類

ISMSの文書は、その目的や管理対象に応じて体系的に分類されます。大きく分けて次の2種類に大別され、それぞれが異なる役割を担っています。

• ISMSのフレームワークを維持・運用するための文書
  
• 情報セキュリティの具体的な管理策に関する文書
  

ISMSのフレームワークを維持・運用するための文書

このカテゴリに含まれるのは、ISMSの基本構造や運用体制を管理・改善していくための「しくみ」に関する文書です。主な内容は以下のようなものです。

• 方針の管理：情報セキュリティ基本方針や適用範囲の明確化
  
• リスクマネジメント：情報資産に対するリスク評価と対策の計画
  
• 内部監査・マネジメントレビュー：定期的な監査や経営層による見直しに関するルールや記録
  

これらの文書は、PDCAサイクルの運用を支える中心的な役割を果たし、ISMSの全体的な整合性と有効性を担保する基盤となります。

情報セキュリティの管理策に関する文書

こちらは、情報の機密性・完全性・可用性を具体的に確保・維持するための「方法」に関する文書群です。より実務的な運用手順や管理措置が記載されており、次のような項目が該当します。

• 情報資産の管理：情報資産台帳の整備、分類、管理手続き
  
• アクセス制御：ID管理やアクセス権限の設定と見直しルール
  
• 委託先管理：外部業者との契約・監督体制の整備
  
• 事業継続管理（BCP）：災害・障害時の対応計画や復旧手順
  

これらの文書は、実際に現場で実行される情報セキュリティ対策の内容を明文化したものであり、社員教育や審査対応の場面でも頻繁に参照されることになります。

ISMSで文書化要求がある項目

規格本文において、文書化が明確に要求されている14の項目をリストアップします。

文書化が要求されている項目一覧

4.3 情報セキュリティマネジメントシステムの適用範囲
ISMSの適用範囲は文書化され、利用可能な状態でなければなりません。

5.2 情報セキュリティ方針
情報セキュリティ方針は文書化され、組織内で利用可能である必要があります。

6.1.2 情報セキュリティリスクアセスメント
情報セキュリティリスクアセスメントのプロセスは文書化されている必要があります。

6.1.3 情報セキュリティリスク対応
情報セキュリティリスク対応のプロセスについて文書化されている必要があります。

6.2 情報セキュリティ目的およびそれを達成するための計画策定
情報セキュリティ目的とその達成のための計画が文書化されている必要があります。

7.2 力量
力量の証拠として適切な文書化された情報が保持される必要があります。

7.5.3 文書化した情報の管理
ISMSの計画と運用に必要な外部の文書化情報は適切に特定・管理される必要があります。

8.1 運用の計画および管理
プロセスが計画通りに実施されたことを確認するために必要な文書化された情報を保持する必要があります。

8.2 情報セキュリティリスクアセスメント
情報セキュリティリスクアセスメントの結果は文書化されている必要があります。

8.3 情報セキュリティリスク対応
情報セキュリティリスク対応の結果も文書化されている必要があります。

9.1 監視、測定、分析および評価
監視および測定の結果の証拠として文書化されている必要があります。

9.2 内部監査
監査プログラムと監査結果の証拠として文書化されている必要があります。

9.3 マネジメントレビュー
マネジメントレビューの結果は文書化されている必要があります。

10.1 不適合および是正措置
不適合の性質、取った処置、是正措置の結果について文書化されている必要があります。

ISMS文書の階層構成と文書作成のポイント

ISMSの文書体系は、一般的に次の1～4の階層で構成されます。

1. 基本方針
   
2. 管理規程
   
3. 管理手順
   
4. 様式／記録
   

この階層構造は、上位にいくほど抽象度が高く組織全体に共通するルールを示し、下位にいくほど具体的・実務的な内容になります。
おおまかに整理すると、「総則（ポリシー）→規則（ルール）→手順（マニュアル）→記録（エビデンス）」という構造になっています。

これら4種の文書は、ISMS認証（ISO/IEC 27001）の取得において、いずれも作成がほぼ必須です。
もっとも、規格上は文書の体裁や記載形式について細かい定めはありません。したがって、自社の規模や業種、既存の業務フローに即した実効性のある文書を作成することが求められます。

文書作成における重要なポイント

ISMS文書を作成する際には、単に「作ること」が目的にならないよう注意が必要です。とりわけ実行段階において迷いが生じない内容にすることが重要です。

• 実務に即した具体性をもたせること
  
• 従業員が「やるべきこと」と「やってはいけないこと」を判断できること
  
• 形式にとらわれず、社内で実行・運用しやすい構成とすること
  

これにより、形式的に文書を整えるだけではなく、実際の運用に耐えうる「使えるISMS文書」として機能するようになります。

文書化が要求されている項目のそれぞれの書き方

1. 情報セキュリティマネジメントシステムの適用範囲（4.3）

この項目は、ISMSがどこまで影響するかをはっきりさせて、文書にしておくことです。会社名、住所、どんな業務をするかを書いたり、フロア図やネットワーク図などを使って範囲をわかりやすく説明します。

例文:

「当社のISMSは、東京都渋谷区の本社オフィスと、すべての関連するITシステム、データセンターを対象とします。この範囲には、顧客データの管理と、内部の業務プロセスが含まれます。また、適用範囲を明確にするために、オフィスフロア図とネットワーク図も用意しています。」

2. 情報セキュリティ方針（5.2）

この項目は、会社がどのように情報を守るかの基本的な考え方をまとめたものです。この方針は文書にしておき、社員が見られるように社内のドキュメントとして保存したり、会社のウェブサイトに公開して、誰でもアクセスできるようにすることが多いです。

3. 情報セキュリティリスクアセスメント（6.1.2）

この項目は、リスクをどうやって評価するか、その手順や方法を具体的に書いておくことです。ここで大事なのは、リスクアセスメントの結果を記録することではなく、その評価方法や手順そのものを文書化することです。多くの会社では、運用規程の中にその手順を書いたり、リスク管理に関する規程を別に作成しています。

4. 情報セキュリティリスク対応（6.1.3）

この項目は、特定されたリスクに対してどのように対応するか、その手順を具体的に書いておくことです。リスクアセスメントと同じように、プロセスや手順を明確に文書化することが重要です。さらに、この項目では「適用宣言書」の作成も求められており、実質的に2つの文書が必要になります。

5. 情報セキュリティ目的およびそれを達成するための計画策定（6.2）

この項目は、会社が達成したい具体的なセキュリティ目標を明確に書いておくことです。この目標は、「情報セキュリティ方針」の一部として記載することもあれば、別に「目的管理表」として管理する場合もあります。管理方法は組織によって異なりますが、重要なのは、これらの目標が文書化され、達成状況を確認できる状態にしておくことです。

6. 力量（7.2）

この項目は、社員が必要なスキルや知識を持っていることを証明する記録を保管することです。例えば、教育実施記録やテスト結果、eラーニングを使っている場合はその結果をそのまま文書化した情報として提示することも可能です。どのような記録を保管するかは、組織が力量をどう定義しているかによって異なります。

例文:

「当社では、社員の力量を確保するために、以下の証拠を文書化して管理しています。例えば、セキュリティ研修を受講した社員の教育実施記録や、eラーニングツールでのテスト結果が該当します。また、特定の役職には〇〇資格が必要であり、その証明書も力量の証拠として保管されています。」

7. 文書化した情報の管理（7.5.3）

この項目は、ISMSの計画や運用に必要な外部からの情報（例えば、法律や規制の文書、ベンダーからのマニュアルなど）をしっかりと特定し、それを適切に管理することを指します。これらの外部文書も、他の文書と同様にアクセスできる状態で維持し、必要に応じて更新や確認ができるようにする必要があります。

8. 運用の計画および管理（8.1）

この項目は、あらかじめ立てた計画通りに仕事やプロジェクトが進められたことを証明するための記録を文書にして残しておくことです。これは、「計画通りにやりましたよ」という証拠として使われます。例えば、年間計画表で進行状況を管理したり、各タスクの成果物を証拠として保存することなどがあります。また、最近ではタスク管理ツールを使って、このような証拠をデジタルで管理することもあります。

9. 情報セキュリティリスクアセスメント（8.2）

この項目は、リスク評価のプロセスに基づいて得られた結果や発見されたリスクの詳細を記録し、保存しておくことを指します。これは、実際にリスクアセスメントを行った後、その結果がどうだったのかを明確に示すためのものです。一般的には、リスク管理表などの形式でこの記録を作成します。

10. 情報セキュリティリスク対応（8.3）

この項目は、特定されたリスクに対してどのような対応が行われたか、その結果を記録しておくことです。これは、6.1.3で決めたリスク対応プロセスに基づいて実施された具体的な対応の結果を文書化することを意味します。一般的には、リスク管理表に対応結果を追記したり、対応計画書を作成して管理したり、タスク管理ツールで管理したタスク自体を記録として使います。

11. 監視、測定、分析および評価（9.1）

この項目は、規格で求められていることがきちんと実施されたことを証明するための記録を残すことを指します。これらの記録は、組織の情報セキュリティマネジメントシステム（ISMS）の有効性を示す証拠として使われます。一般的には、パフォーマンス指標（KPI）を定め、それに基づく結果を有効性評価シートやレポートに記録する方法がよく使われます。

12. 内部監査（9.2）

この項目は、監査の計画や実施内容、結果を記録し、それを証拠として保存しておくことを指します。これは、内部監査が計画通りに実施され、その結果が適切に評価されたことを示すために重要です。一般的には、監査計画書、監査報告書、監査チェックリストなどがこれに該当します。

13. マネジメントレビュー（9.3）

この項目は、経営層が定期的にISMSのパフォーマンスを評価し、必要な改善策を検討したことを証明するために必要です。マネジメントレビューの記録や、レビュー時の議事録を作成して保管することが一般的です。

14. 不適合および是正措置（10.1）

この項目は、不適合が発生した際に、その問題の性質や原因、講じた是正措置、そしてその結果がどうだったかを記録し、証拠として保存することを指します。これにより、組織が問題にどのように対応したか、そしてそれが効果的だったかを後から確認できるようにします。一般的には、是正処置管理表として、不適合の内容からその対応策までを一括で管理する記録が作成されます。

おわりに

今回は、ISO 27001規格の本文で文書化が求められている項目について整理しました。しかし、これらの項目だけを文書化すれば十分というわけではありません。少なくともこれらの必須項目に該当する文書を整備する必要がありますが、それ以外の項目についても、状況に応じて証跡を準備しておくことが重要です。

また、現在作成している文書や記録が本当に必要な要件を満たしているか、または過剰に複雑になっていないかを見直すことも大切です。これにより、効率的かつ効果的な文書管理が実現し、ISO 27001の認証維持がよりスムーズになるでしょう。定期的な見直しを行うことで、文書管理の適切性と効率性を高めることができるかもしれません。

オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします！

弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。

しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。

創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得／更新の体験談を多数公開していますので、ぜひご覧になってください。

お客様の声
www.optima-solutions.co.jp/voice

これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。