こんにちは。私は、ISMSの事務局を複数の会社で担当してきました。そこでは、ルールの作成から始めて、PDCAサイクルの運用を行い、審査機関からの審査を受けて、ISMSを取得・更新してきました。
今、この文章をお読みになっているあなたは、きっとISMS認証取得を考えられているか、または担当者にアサインされて審査にどう対応すればいいのか、お考えなのではないでしょうか?
ISMS認証を取得するためには、ISMS(ISO27001)規格に必要な記録文書などの作成、体系化が求められることを知って、不安にもなっているかもしれません。
その不安の通り、ISMSの審査において、文書化が要求されている項目は多岐にわたり、その内容もやや複雑なので、担当者が頭を悩ませるテーマのひとつとなっています。
さらに言うと、ひな形の良し悪しは、認証取得後のISMSの文書管理、PDCAサイクルにも影響し、情報インシデントを防ぐ有意義なものになるか、はたまた形骸化した、ただの紙切れになるか、運命の分かれ道でもあります。
でも、安心してください。この記事にたどり着いたあなたは大変ラッキーです。なぜなら、この記事にはコンサルタントさえ不要になるかもしれないひな形のご案内もあるからです!
ここでは
・ISO27001の要求事項とは?
・ISMSの関連文書とは?
・ISMSの関連文書の基本的な構成と種類は?
・ISMSの関連文書を作成する際のポイントは?
・ひな形の選び方
・形骸化させないために
という点について、解説します。
ISMSについて改めて確認したい方は、以下の記事も合わせてご確認ください。
目次
ISMSの審査基準であるISO27001の要求事項とは
ISMSに必要な文書を作成する際には、審査基準となっているISO27001に規定されている「要求事項」を満たす必要があります。
ISO27001で規定されている要求事項は、以下の10点です(序文は除く)。
- 適用範囲
- 引用規格
- 用語及び定義
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
このうち、1項 適用範囲~3項 用語及び定義は、ISO27001の規格そのものの説明であるため、あくまで参考程度にチェックしておけばよいでしょう。
「4.組織の状況」から「10.改善」までの部分が、ISMSの文書に盛り込んでおかなければならない事項です。ここで詳しく解説します。
4.組織の状況
ISMSの適用対象範囲についての要求事項です。組織の内情や取り巻く状況および利害関係者のニーズを把握したうえで、ISMSの適用範囲を決めることが記されています。
5.リーダーシップ
ISO27001では、組織の経営層が主導してISMSを構築することが求められています。そのためこの項では、経営層がISMS構築のために実施すべきことがまとめられています。
6.計画
情報セキュリティ上のリスクに、対処するための計画について触れられています。ISMSはPDCAサイクルを回すことが求められており、この項はPDCAの「Plan(計画)」の部分を表しています。
7.支援
ISMSを構築するにあたり、組織が社員に行うべきサポート内容が規定されています。具体的には、ISMSの維持・改善に必要な資源を提供し、教育を実施するといったものがあります。
8.運用
計画で定めた、リスクアセスメントやリスク対応計画にのっとって、実際にISMSを運用することが記されています。PDCAの「Do(実行)」の部分に該当します。
9.パフォーマンス評価
ISMSが適切に構築・運用できているのかどうかの評価について規定されています。たとえば、内部監査や経営層におけるレビューなどが含まれています。PDCAの「Check(評価)」の部分にあたります。
10.改善
ISMSの継続的な改善に必要な是正処置や、ISMS認証の不適格時の対処法などを記した項です。PDCAの「Act(改善)」の部分に該当します。
ISMS文書とは
ISMS(ISO27001)認証を取得するには、情報セキュリティに関するルールを認証に沿って作成、体系化し、それを運用するためのマネジメントシステムを構築することが必要です。
そのため、ISMS(ISO27001)規格においては、さまざまな文書を作成することが求められています。
ただ、文書の形式や体系などは指定されておらず、一見すると抽象的な指示に留まっているようにすら思えます。
しかしそれは、形式化した書面に留まらず、今現在、実際に組織で使われているルールを活かして、運用しやすい形で文書を作成するために、あえて指定されていないのです。
自社のルールを元に、ISMSに適した項目に組み替えるためにも、その基本となる文書の骨組みをご紹介します。
ISMS文書の基本的な構成
ISMS文書は、以下の4つを基本に作成されることが一般的です。
- 情報セキュリティ方針
- ISMS基本規程
- 適用宣言書
- 安全管理規程
これらを軸にして、証跡として下支えするものに、様式や記録があります。
1は、情報セキュリティの理念や大枠を宣言するもので、公式サイトなどで公表するものです。
2は、ISMSの根幹をなす文書で、適用範囲や、教育、監査をどのように実施するかなど、PDCAサイクルで実施する内容を記しています。
3は、ISMSの管理策(情報セキュリティ対策)の93の項目のうち、何を実践して、何をその必要がないとするかを、その理由とともにを記しています。
4は、パスワードは何文字にするかなど、管理策の具体的なルールを記しています。
これらの4つの階層が、ISMS文書においては必須とされています。
これらの文書作成にあたっては、形式的なものではなく、従業員が参照・運用しやすい内容にすることが重要です。
ISMSで必要な記録の種類
ISMSで必要な記録は、大きく分けて以下の2種類に分類されることが一般的です。
- ISMS基本規程の細目を記した様式・記録
- 安全管理規程の実践を証明する様式・記録
それぞれについて、具体的な例を記します。
ISMS基本規程の細目を記した様式・記録
以下に、「ISMS基本規程の細目を記した様式・記録」に含まれる具体的な書類の例を挙げます。
・ISMSの適用範囲や目標を示した書類
具体的にいうと、「ISMS管理体制図」や「情報セキュリティ目的達成計画書」「年間実施計画」などが挙げられます。
自社におけるISMSの適用範囲や、ISMSを通じて、何をどのように/いつまでに実施するかなど、目標遂行のために関連する部署、時期を規定するものです。
・情報資産管理に関する記録
ひな形では、「情報資産目録」がそれにあたります。
自社がどのような情報資産を持っており、それらはどれほど大事な情報で、社内でどのように管理されているか、また、どの範囲まで開示されてもよいものなのかを整理・把握し、それらを見た人が情報資産の内容から価値まで一目でわかるようにしています。
ISMSで大切な「C・I・A」(C=Confidentiality 機密性、I=Integrity 完全性、A=Availability 可用性)をここで明確にする、非常に重要な書類です。
・リスクアセスメントに関する記録
具体的にいうと、「リスク評価シート」をはじめとする、情報セキュリティリスクの「特定」「分析」「評価」「リスク対応」に関する文書・記録などが挙げられます。
ISO27001におけるリスクマネジメントでは、自社の情報リスクを「特定」し、それぞれの情報資産におけるリスクを「分析」「評価」した上で、「リスク対応」を検討することを包括的に「リスクアセスメント」といいます。
・内部監査に関する記録
「内部監査チェックリスト」や「内部監査報告書」などがそれにあたります。
構築したマネジメントシステムが、ISO27001の要求事項に適しているか、有効に機能しているかを自社内部で確認するのが「内部監査」です。
この内部監査を実施するにあたっては、記録を残す必要があります。
チェックリストと合わせて保存すると、次回の内部監査実施時に比較がしやすくなります。
・マネジメントレビューの記録
内部監査の結果や推進状況を鑑み、トップマネジメントが現状のISMSを判断し、修正点や改善点があれば指摘し、記録に残します。
安全管理規程の実践を証明する様式・記録
次に、「安全管理規程の実践を証明する様式・記録」に含まれる書類の例を挙げます。
こちらはより具体的な運用施策に関する文書となります。
・情報の取扱いに関する記録
具体的には、「可搬型外部記録媒体管理表」「機密情報授受表」「出入口解錠施錠記録」などが該当します。
業務にあたって、情報をうかつに取り扱うことがないように記録を付けたり、人の出入りを物理的に管理し、それを文書化します。一般の従業者にはもっとも身近で日常的に使う書類とも言えます。
・委託先管理に関する記録
具体的には、「委託先管理台帳」が挙げられます。
ISO27001において、情報資産を第三者に渡す場合は、委託先の管理が求められています。
委託先の管理方法においての規定を定め、委託管理先台帳も文書として揃えることが望ましいとされています。Pマークをすでに取得している企業であれば、それをそのまま活用することができます。
・事業継続計画(BCP)に関する記録
具体的には、「情報セキュリティ継続計画書」「情報セキュリティ継続計画演習記録」などが挙げられます。
ISO27001においては、天災や事故による事業継続管理において、情報セキュリティの維持管理を推奨しています。
ただ、天災や事故の際の手順書を詳細に定めても、そのとおりの実施は困難なのが実情です。
そこで、主に計画書にて、平時の備えやリスクアセスメント、事業継続計画を定めることが一般的です。すでにBCP関連の書類が自社にあれば、そこに加筆することでISMSの書類とすることも可能です。
たくさんの例を挙げましたが、これらそれぞれの書類については、以下の記事で例文を紹介しています。
合わせて参考になさってください。
ひな形の選び方
ここまでお読みいただいて、書類の煩雑さに辟易したのではないでしょうか?それは全くもって、もっともな感想です。
もうお分かりかと思いますが、自社で完全オリジナルの書類を一から作成することには、大変な労力を割くことになります。
では、コンサルタントから渡されるひな形を使ったら、どんな場合でも簡単なのでしょうか?
答えは「No」です。
この文章を書いているライターの私でさえ、最初は頭から湯気を出しながら、悪戦苦闘しました。が、そのおかげで、認証を取り終わったときすべての書類が一本の糸できれいにつながって見え、感動すら覚えました。
しかし、そうなるためには、どんなひな形でもいい訳ではなく、よいひな形を選ぶことが重要なのです。
よいひな形を選ぶポイント
ではすぐれたひな形はどこでわかるでしょう?
・むやみに自動化されていないこと
・無駄な書類などがないこと
・Googleスプレッドシートなど、オンラインで共有できること
上記3点が主に大切なことになります。以下簡単に解説します。
むやみに自動化されていないこと
「自動化」と言われると、飛びつきたくなる気持ちはよくわかります。しかし、何のためのISMS認証を取得するのでしょうか?「会社の情報資産を適切に守ることで、会社の発展につなげる」ことではないでしょうか?認証マークだけ取っても意味はありません。マーク取得が目的ということは、形骸化を意味しています。
何もわからない状態の人が最初から自動化してしまったら、何もわからないまま認証審査に臨み、その間中、冷や汗をかきながらオートメーションシステムをにらめっこして回答するのです。
さらに言うと、何もわからないので、自分たちの会社が抱える情報リスクもわからないままに認証を取ります。それは、自分たちで何もパッチすることができない脆弱な情報セキュリティマネジメントシステムを構築してしまうことに他ならないのです。
完璧でなくていいのです。まずは書類がなぜあるのか、それがどう関わってくるのか、わからないなりに、頭から湯気を出して取り組む姿勢がISMSで重要になってくることを感じてください。
無駄な書類などがないこと
その会社の規模やニーズに応じて、作らなくてはいけない書類は若干変わってきます。いいひな形にはいいコンサルタントがついています。その取捨選択もコンサルタントが教えてくれます。
また、長文で説明しがちな規程類に、見やすい表や箇条書きが盛り込まれているかも重要です。本来見づらいからこそ少しでも見やすくなっていることは、理解を深めるためにも不可欠になってきます。
Googleスプレッドシートなど、オンラインで共有できること
書類作成を複数人で分担できますし、自社の必要性に合わせて、加工が簡単にできます。関連する文書通しをリンクで紐づけることもできるので、設定しておけば、審査時に慌てなくて済みます。
また、審査員が審査時に「こうしたほうがいい」と言われたことがその場ですぐに修正できるので、審査後に別で対応する必要がなくなります。すなわち、審査の負担がそれだけ軽くなるということです。
まとめ~形骸化させないために
この記事では、ISMS(ISO27001)に必要な文書と、ひな形の選び方についてまとめました。
ISMS(ISO27001)では文書の作成が求められますが、すべての要求事項において必須というわけではなく、企業ごとに作成すべきかどうかを判断することになります。
重要なのは、自社の事業活動の中で、会社の実情に合った形で情報セキュリティの3要素である「C・I・A」(機密性・完全性・可用性)が担保されるような文書をしっかり作成することです。
そして、繰り返しになりますが、自社ですべての文書を作成するのは非常に手間と時間を要します。
複数社、認証取得に携わったライターおすすめのひな形(一部)は、以下のダウンロードからお手にとっていただくことができます。
ぜひひな形をご覧になって、ご検討ください。
最初はどこのひな形を見ても、煩雑にしか感じないでしょう。しかし、適切なひな形を使って、認証取得した暁には、あなたの後ろには必ずやあなたの会社のISMSの道ができているはずです。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
