箇条7では,ISMSの活動におけるPDCAサイクルのすべての局面に関する要求事項が定められており,「7.1 資源」,「7.2 力量」,「7.3 認識」,「7.4 コミュニケーション」,「7.5 文書化した情報」の5項目で構成されています。
この記事では,「7.5 文書化した情報」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「7.5 文書化した情報」では,ISMSを構築・運用するための文書化した情報の作成や更新などの管理について要求しています。
規格要求事項
7.5 文書化した情報
7.5.1 一般
組織のISMSは,次の事項を含まなければならない。
a) この規格が要求する文書化した情報
b) ISMSの有効性のために必要であると組織が決定した,文書化した情報注記 ISMSのための文書化した情報の程度は,次のような理由によって,それぞれの組織で異なる場合がある。
1) 組織の規模,並びに活動,プロセス,製品及びサービスの種類
2) プロセス及びその相互作用の複雑さ
3) 人々の力量7.5.2 作成及び更新
文書化した情報を作成及び更新する際,組織は,次の事項を確実にしなければならない。
a) 適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号)
b) 適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)
c) 適切性及び妥当性に関する,適切なレビュー及び承認7.5.3 文書化した情報の管理
ISMS及びこの規格で要求されている文書化した情報は,次の事項を確実にするために,管理しなければならない。
a) 文書化した情報が,必要なときに,必要なところで,入手可能かつ利用に適した状態である。
b) 文書化した情報が十分に保護されている(例えば,機密性の喪失,不適切な使用及び完全性の喪失からの保護)。文書化した情報の管理に当たって,組織は,該当する場合には,必ず,次の行動に取り組まなければならない。
c) 配付,アクセス,検索及び利用
d) 読みやすさが保たれることを含む,保管及び保存
e) 変更の管理(例えば,版の管理)
f) 保持及び廃棄ISMSの計画及び運用のために組織が必要と決定した外部からの文書化した情報は,必要に応じて,特定し,管理しなければならない。
注記 アクセスとは,文書化した情報の閲覧だけの許可に関する決定,文書化した情報の閲覧及び変更の許可及び権限に関する決定,などを意味する。
ISO/IEC 27000:2013(JIS Q 27001:2014)
「文書化した情報」ってなんですか?
規格では「組織が管理し,維持するよう要求されている情報,及びそれが含まれている媒体」と定義されていて,具体的には,文書と記録のことなんだけど,紙媒体の書類はもちろんパソコン等で扱う文書データのほか,監視カメラ映像の動画ファイルやサーバーのログファイルなんかも「文書化した情報」に含まれるんだよ。
文書化要求
「7.5.1 一般」では,規格が定める14の文書と組織がISMSの有効性のために必要であると判断した文書について,文書化するよう要求しています。
規格が要求する文書化した情報【7.5.1 a)】
規格本文において,明確に文書化を要求しているのは,以下の14の文書です。
| 箇条 | 要求事項 | |
| 1 | 4.3 情報セキュリティマネジメントシステム | ISMSの適用範囲は,文書化した情報として利用可能な状態にしておかなければならない。 |
| 2 | 5.2 方針 | 情報セキュリティ方針は,次に示す事項を満たさなければならない。 e) 文書化した情報として利用可能である。 |
| 3 | 6.1.2 情報セキュリティリスクアセスメント | 組織は,情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。 |
| 4 | 6.1.3 情報セキュリティリスク対応 | 組織は,情報セキュリティリスク対応のプロセスについて文書化した情報を保持しなければならない。 |
| 5 | 6.2 情報セキュリティ目的及びそれを達成するための計画策定 | 組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。 |
| 6 | 7.2 力量 | d) 力量の証拠として,適切な文書化した情報を保持する。 |
| 7 | 7.5.3 文書化した情報の管理 | ISMSの計画及び運用のために組織が必要と決定した外部からの文書化した情報は,必要に応じて,特定し,管理しなければならない。 |
| 8 | 8.1 運用の計画及び管理 | 組織は,プロセスが計画通りに実施されたという確信を持つために必要な程度の,文書化した情報を保持しなければならない。 |
| 9 | 8.2 情報セキュリティリスクアセスメント | 組織は,情報セキュリティリスクアセスメント結果の文書化した情報を保持しなければならない。 |
| 10 | 8.3 情報セキュリティリスク対応 | 組織は,情報セキュリティリスク対応結果の文書化した情報を保持しなければならない。 |
| 11 | 9.1 監視,測定,分析及び評価 | 組織は,監視及び測定の結果の証拠として,適切な文書化した情報を保持しなければならない。 |
| 12 | 9.2 内部監査 | g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。 |
| 13 | 9.3 マネジメントレビュー | 組織は,マネジメントレビューの結果の証拠として,文書化した情報を保持しなければならない。 |
| 14 | 10.1 不適合及び是正処置 | 組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。 f) 不適合の性質及びとった処置 g) 是正処置の結果 |
組織が必要であると判断した文書化した情報【7.5.1 b)】
文書の作成および更新
「7.5.2 作成及び更新」では,文書を作成または更新する際に,タイトルの付け方や文章の書き方などの基準を定めることのほか,文書のレイアウト,保存する際のデータ形式や媒体を定め,必要に応じて参照できること,および,文書の内容の適切性を保つためにレビューし承認することを求めています。
適切な識別及び記述【7.5.2 a)】
文書のタイトルのほか,作成日,更新日,作成者,承認者,文書番号を記述し,適切に識別できるようにします。
適切な形式【7.5.2 b)】
文書を記述する際の言語のほか,文書を作成するソフトウェア製品やバージョン,文書レイアウトを定めておくなど,文書の利用範囲や保存に適した形式および媒体で文書を作成します。
適切なレビューと承認【7.5.2 c)】
文書の内容に不備や誤りがないように,適切性と妥当性について,適切なレビューおよび承認が必要となります。
文書の管理
「7.5.3 文書化した情報の管理」では,「7.5.2 作成及び更新」で作成または更新された文書について,文書化された後の文書管理に関する要求事項として,文書化した情報を,必要なときに必要とする者が,適切に利用できるよう,以下の事項について求めています。
- 文書が必要なときに,必要なところで入手可能で,利用に適した状態にする【7.5.3 a)】
- 文書が,機密性の喪失や不適切な使用,完全性の喪失から保護されている【7.5.3 b)】
- 文書を必要とする人のために,配布方法のほか,検索性や利便性を高める【7.5.3 c)】
- 必要としたときに利用できる保管および保存を行う【7.5.3 d)】
- 文書を更新した際は、適切な版が利用されるよう,版の管理を行う【7.5.3 e)】
- 保管期限を定め,期限が到来したら廃棄する【7.5.3 f)】
構築・運用のポイント
ISMSを構築する際には,規格で要求される文書のほか,組織が必要が必要と決定した文書や,リスクアセスメントやリスク対応などの一連のプロセスによって活動した際に作成される記録など,数多くの文書や記録をを作成することになります。
また,ISMSを運用していくと,認証審査での指摘事項のほか,顧客からの新たな要求や社会情勢の変化や技術の進歩に伴って,新たなルールや手順が整備され,その都度,文書や記録が作成されるとともに,文書の更新に伴う旧版の管理など,管理の対象となる文書が増えていきますので,文書管理のルールを整備し,文書化した情報を適切かつ効率的に管理することが,ISMSの運用において,とても重要になります。
文書体系
ISMSの文書は,一般的には階層構造になっていて,ピラミッド構造で例えられます。階層が下層にいくほど,文書や記録の量が増えていきます。
第1次文書:方針
情報セキュリティ方針は,ISMS文書の頂点に位置する文書であり,その組織の情報セキュリティへの取り組みについての基本的な考え方を組織の内外に宣言・表明する文書です。
第2次文書:基準
ISMSの構築・運用では,規格の要求事項に適合することが求められ、組織内の情報セキュリティに関する規程や手順は,規格の要求事項に基づいて整備されることになります。
ただし,規格はあくまでも組織外の文書であることから,規格要求事項を組織内の規程として取り込むことが一般的に行われます。その組織内に取り込まれた文書は,基準文書として,方針の下層,規程の上層に位置することになります。
規格要求事項の規程化
規格要求事項を組織内の規程として取り込む際は,例えば,規格に「組織は,次の事項を決定しなければならない。」と記述されているところの「組織は」を「当社は」に置き換えます。また、規格の本文中に出てくる「トップマネジメント」については,その組織の組織形態やISMSの運用体制に合わせて,「代表取締役」,「社長」,「理事長」などの役職名や「取締役会」,「情報セキュリティ委員会」,「リスク管理委員会」など,ISMSの運用を統括している組織名に置き換えることができます。
基準文書には,ISO/IEC 27001(JIS Q 27001)のほか,クラウドセキュリティへの取り組みや認証を取得する場合には,ISO/IEC 27017に基づき規程化した文書が基準となり,業界団体等から示されている情報セキュリティに関するガイドラインや業界基準があれば,それらについても規程化した文書を基準文書とします。
第3次文書:規程
基準文書に基づいて組織内に規定される,情報セキュリティに関する規程文書や規則,組織内のガイドラインなどが位置する層です。
この層の文書は,組織全体を規律することになることから,トップマネジメントによる承認が一般的です。文書の改訂手続を煩雑にしないため,文書の更新頻度が低くなるよう,文書を作成することをお勧めします。
第4次文書:手順書
規程文書に基づいて組織内や特定の部門内に規定される,情報資産や情報システムの取り扱いなど,具体的な取り扱い手順や操作方法が記述される手順書やマニュアルなどが位置する層です。
この層の文書は,情報資産を安全に取り扱うための手順や,情報セキュリティインシデントの発生防止のための手順など,実務レベルのルールが記述されることや社会情勢や技術の進展などによるルールの見直しが比較的頻繁に行われることから,トップマネジメントからISMSの構築・運用を委任された,「情報セキュリティ管理責任者」や「ISMS責任者」による承認が一般的です。
第5次文書:様式・記録
情報資産台帳のほか,計画書や報告書といった定型書式である様式や,ISMSの構築・運用によってアウトプットされる各種の記録などが位置する層です。
様式は,ISMSの運用や状況の変化によって更新されることがありますが,記録は,承認されると変更や更新されることはありませんので,記録は,紙媒体の場合は,印刷したものに署名または記名押印し,電子媒体の場合は,PDFファイルで保存することが求められます。
文書作成・更新と文書管理
文書の作成,レビュー・承認,保管,更新(改訂・改正)および廃止に至る,文書のライフサイクルについて「文書管理規程」に定め,運用することが求められます。
文書作成ルールの重要性
特に,文書の作成については,統一されたフォーマットとして,1ページあたりの行数,一行あたりの文字数,フォント,フォントサイズのほか,余白の数値や以下に示す語句の意味の区別に至るまで詳細に決めておくことをお勧めします。
| 意味の区別 | 末尾に置く語句 | 備考 |
| 指示又は要求 |
~(し)なければならない。 |
厳密にこれに従い,これから外れることを認めない。 |
| 禁止 | ~(し)てはならない。 ~(し)ない。 |
|
| 推奨 |
~することが望ましい。 |
このほかでもよいが,これが特に適しているとして示す。 または,これが好ましいが,必要条件とはしない。 |
| 緩い禁止 | ~しないほうがよい。 | 好ましくないが,必ずしも禁止しない。 |
| 許容 | ~(し)てもよい。 | 規程の範囲において,これを許すことを示す。 |
| 不必要 | ~しなくてもよい。 |
その理由は,事務局の担当者が変更になると,その時々の担当者によって,フォーマットが異なったり,文章の書き方がことなると,文書としての統一感が損なわれ,利用者としては読みにくくなってしまうからです。
文書番号の付け方
文書番号は,文書が容易に識別できるように付番しましょう。
- 種別:文書の種類がISMSに関するものであることを示します。
- 文書レベル記号:第1次文書から第5次文書を,A,B,C,D,Eでレベル分けします。
- 連番:文書レベルごとに連番で付番します。
- 版数:整数の部分は大改訂ごとに,小数点以下の部分は小改訂ごとに番号が増加します。
例えば,「ISMS基準」文書を作成する場合は,種別はISMS,レベル記号はB,連番は01,版数は初版なので1.0とすると,「ISMS-B01-1.0」となり、この文書の文書の一部を更新して小改訂する場合は,「ISMS-B01-1.1」になり,全部を更新して大改訂する場合には,「ISMS-B01-2.0」となります。
また,文書をデータとして保存する際に,ファイル名を,Wordファイルの場合に「ISMS-B01-1.0 ISMS基準.docx」,PDFファイルの場合に「ISMS-B01-1.0 ISMS基準.pdf」とすることで,パソコン上でも識別および管理しやすくなります。