ISMSで作成する文書についてご存じですか?
情報セキュリティを管理するためのシステムである、ISMS。
ISMS規格では、様々な文書を作成することが要求されています。
今回の記事では、
- ISMS文書の構成が知りたい
- ISMS文書にはどんなものがあるの?
- ISMS文書を作成する時のポイントは?
という方に向けて、ISMS文書の構成や作成時のポイント、文書の種類について解説していきます。
ISMS文書作成時のポイント
ISMS文書を作成する際のポイントは、内容を具体的に記述することです。
手順を実行、つまりISMSを運用する時に、
- 何をしなければいけないのか
- 禁止事項は何か
ということを、従業員が明確に理解できるようにしましょう。
具体的に記述しておくことで、手順を間違いなく実行することができます。
ISMS文書の基本的な構成
ISMSの要求事項では、文書の形式や書式、文書体系などの詳細は決められていません。
そのため、それぞれの会社に適した内容や形式で作ることができます。
ただし、一般的に、ISMS文書の構成は次のようになっています。
- 情報セキュリティ方針
- PDCAサイクルを規定したISMS基本規程
- 情報セキュリティ対策を規定した安全管理規程
- 各種様式(必要事項を記載したものが記録となる)
これらそれぞれについて、詳しく解説していきます。
(1)情報セキュリティ方針
数あるISMS文書の中で、最上位にある文書です。
会社のISMS方針を記した、ISMSの根幹にあたる文書です。
情報セキュリティ方針は、ISMSを取得している企業のホームページなどに記載があったり、その企業の入口の近くに、ISMSの認証書と共に壁に掲示してあることがあります。
最上位の文書ですが、一般的に文字数はあまり多くなく、A4サイズの紙1枚くらいになることが多いです。
(2)PDCAサイクルを規定したISMS基本規程
ISMSでは、毎年「PLAN」「DO」「CHECK」「ACTION」のサイクルを一周回すことが求められており、これらを規定するのが「ISMS基本規程」です。実際には企業により「情報セキュリティ規程」「ISMSマニュアル」など様々な呼び方があります。この内容を簡単に見ていきましょう。
適用範囲・組織の状況
ISMSは、全社で取り組むことは求めていません。ですから、この規程が対象とする範囲はどこからどこまでなのかを明確にします。
次に、その適用範囲の組織が、どのような課題を持っていて、利害関係者がどのような期待を持っているのかということを明確にします。
リーダーシップ
ISMSは、適用範囲の組織の長のリーダーシップにより確立されるものです。組織の長により方針が決められ、責任者が任命され、その下の担当者も決められるように、明確にします。役割ごとに求められる力量も明確にされます。
情報の洗い出しとリスクアセスメント
ここで、組織内に存在する情報を明確にし、リスク評価を行うことを規定します。
リスクアセスメントの文書は、情報セキュリティリスクの
- 特定
- 分析
- 評価
- リスクへの対応
などに関する文書や記録です。
管理策の決定と導入
リスクアセスメントの結果に基づいて、実施すべき管理策(セキュリティ対策の項目名)を決定し、導入することを明確にします。
ここまでが「PLAN」にあたるとされています。
運用
ISMSの「DO」にあたる部分になります。ここには、年間活動計画をどう作るかなどを記載します。それ以外は、(3)情報セキュリティ対策を規定した安全管理規程で規定することになるので、あまり長くは書きません。
内部監査
内部監査とは、PDCAサイクルのC(評価)にあたる重要な部分です。
内部監査に関する文書には、主に内部監査の管理規定が記載されます。
マネジメントレビュー
マネジメントレビューとは、PDCAサイクルのA(改善)にあたる部分です。
組織を指揮するトップマネジメントが、ISMSの現状を把握し、見直す必要のある部分があれば、それを記録に残します。
(3)情報セキュリティ対策を規定した安全管理規程
ISMSの準拠規格であるISO27001には附属書Aという文書があり、そこには93個の管理策(セキュリティ対策の項目)が記載されています。これをどのように実現するのかを文書化することが必要です。それが安全管理規程となります。
この内容を解説していきましょう。
物理的安全対策
物理的安全対策とは、入退室管理や盗難防止、機器の廃棄などに関する内容です。
- 業務エリアへの入室制限、施錠方法
- 情報資産の持ち出し方法・管理方法
- 社内での保管場所
- IT機器や媒体の廃棄方法
などについて規定し、管理します。
管理者向けのルール
IT周りのルールは、多岐に渡るため、管理者向けルールと社員向けルールを別々に記載することが多いようです。管理者向けルールの中には、
- ネットワークの接続
- サーバーの管理
- バックアップの取得
などについて規定します。
社員向けのルール
社員向けルールの中には、
- 端末の持ち出しの規定
- パスワードの管理方法や長さ
- インターネットや電子メールの利用方法
などについて規定します。
委託先の管理
サービスの利用や業務委託をする際に、顧客の個人情報や組織の情報資産を預ける場合、委託先の管理が必要になります。
- 委託先の選定方法
- 委託先管理の手順
- 再委託について
などを規定した方がいいでしょう。
事故・障害の際の規定
ISMSを導入したとしても、情報漏えい事件や事故は、ゼロにはならないものです。むしろこれまでは見過ごされていた事故などをきっちりと取り上げるようになることで、一時的には増えたように感じられるかもしれません。そのような事件事故の際の対応方法を規定します。
大規模災害やパンデミックなどに対するITC事業継続計画
ISMSは、自然災害やパンデミックなどが発生した場合であっても、適切に情報セキュリティを維持・管理することを求めています。
これをどのように実現するのか、ITC事業継続計画を作成し、定期的に演習を行うことを規定します。。
(4)様式類(必要事項を記載したものが記録となる)
ISMSは、規程に基づいて記録を残すことを求めています。ここではその中でも重要性の高いものをいくつかご紹介します。
適用宣言書
適用宣言書は、記録類の中で最上位にある文書です。
ISO27001の付属書Aに記載がある93個の管理策に関して、一つ一つ適用するのかどうかを明確にします。
さらにそれらの管理策の実行に関する規定や記録はどこにあるのかを記載する欄もあります。
93個すべてを実行しなければいけないわけではなく、自社で行っていない業務に関する場合など、除外することも許されます。
情報資産目録
情報の洗い出しを行った結果、この情報資産目録を作成します。
自社で重要な情報は何があるのか、それは誰が管理していて、どこに保管されているのかなどを記載します。
ISMSっぽいところとしては「機密性」「完全性」「可用性」から見たその「情報資産の価値」を記載する欄も通常は設けられます。この辺りは専門的になるので、コンサルタントに助けてもらいたいところです。
リスク評価シート
情報資産目録のそれぞれに関して、どのようなリスクがあるのかを見ていくのがリスク評価シートです。
リスク評価シートの重要なところは、評価した結果に基づいて、リスクが大きい場合には追加の対策を行うということです。追加の対策を行うかどうか判断するためにリスク評価シートを作成しています。そうならないのであれば、リスク評価シートの価値はないということになります。
ISMS取得のご相談ならオプティマ・ソリューションズへ!
ISMS文書には種類や、作成しなければならないものが多いので、とても複雑です。
弊社は創業後の18年間で3,000件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。