BLOG ISOブログ
ISMS(Information Security Management System、情報セキュリティマネジメントシステム)とは、企業・組織が情報セキュリティを体系的かつ継続的に管理するための仕組みを指します。ISMSの仕組みを導入するにあたって必要となる文書は、国際規格であるISO27001(正式名称:ISO/IEC27001)において規定されており、認証を取得し、これを維持するためには、当該規格に定められた文書化要求を的確に満たすことが求められます。
しかし、どのような文書を、いかなる手順・形式で作成すべきかは理解が難しい場合があります。そこで本記事では、効果的な運用を支援する文書体系の一般的な形である「5層モデル」をはじめ、審査において必須とされる文書、および実務上文書化が推奨される項目について解説します。
ISMSとは
ISMS(情報セキュリティマネジメントシステム)とは、企業・組織が保有する情報資産を保護するための仕組みです。この仕組みの導入にあたっては、ISO 27001の要求事項に基づき、企業・組織全体で情報セキュリティ対策を計画・実施・改善するための取り組みを実施することが必要です。以下では、ISMSの概要・目的について解説します。
ISMSの概要
ISMSは、企業・組織が情報資産の機密性・完全性・可用性を確保するための管理体制です。ISO 27001の要求事項に基づき、リスクの特定・評価・対応を継続的に実施し、セキュリティ事故の防止および被害軽減を図ります。計画・実行・評価・改善のPDCAサイクルにより、企業・組織全体における情報セキュリティの水準を維持・向上させる枠組みです。
ISMSの目的
ISMSの目的は、企業・組織が保有する情報資産をあらゆる脅威から守り、事業の継続性と信頼性を確保することです。具体的には、情報セキュリティの3要素(機密性・完全性・可用性)を維持し、内的・外的リスクを体系的に管理する体制を構築します。サイバー攻撃、情報漏えい、災害などによる被害を最小限に抑えるうえで効果的な枠組みとして機能します。管理体制の継続的な改善を通じて、顧客・取引先からの信頼を高め、企業・組織の競争力を維持・強化するのもISMSの主要目的といえるでしょう。
関連記事:ISO27001の要求事項一覧|構造や各項目を体系的に解説
ISMSの文書に関連する要求事項
ISMSに関する国際規格ISO27001において、文書化に関する基本要求が記されているのは「条項 7.5」です。以下では、文書化に関する要求事項の内容について解説します。
7.5.1 一般
ISMSの条項「7.5.1 一般」では、文書に関する以下の要求事項が明記されています。
組織のISMSは、次の事項を含まなければならない。
a) この規格が要求する文書化した情報
b) ISMSの有効性のために必要であると組織が決定した、文書化した情報
ISO27001の要求事項7.5.1「一般」では、ISMSに含めるべき文書化された情報の範囲を定めています。「規格が要求する文書情報」「組織がISMSの有効性維持に必要と判断した文書情報」の2種類です。これらの要求事項に準拠すれば、各部署の業務およびリスク環境に応じた柔軟な文書管理が可能となり、情報セキュリティの実効性を高められます。
7.5.2 作成と更新
ISO27001の要求事項7.5.2「作成と更新」では、文書の作成と更新に関して、おおまかに以下のように記されています。
文書化した情報を作成及び更新するとき、組織は、適切な事項を確実にしなければならない。
a) 識別及び説明(例:名称、日付、作成者、参照番号)
b) 形式(例:言語、ソフトウェアのバージョン、図表)及び媒体(例:紙媒体、電子媒体)
c) 妥当性及び適切性についてのレビュー及び承認
ISO27001の7.5.2「作成及び更新」では、文書化した情報を新規作成・改訂する際の管理要件を定めています。各文書に名称・日付などの識別情報を付与したうえで、形式・媒体の明確化も求められます。また、文書の妥当性および適切性を確認するため、レビュー(評価)と承認のプロセスを設けることも不可欠です。これらの要求事項へ準拠することにより、ISMS文書の品質と一貫性が維持できます。
7.5.3 文書化情報の管理
ISO27001の要求事項7.5.3「文書化情報の管理」では、文書化した情報の管理方法についておおまかに以下のように記されています。
ISMSおよびこの規格で要求される文書化した情報は、次の事項を確実にするために管理しなければならない。
a) 文書化した情報が、必要な時に、必要な場所で、利用可能で適した状態であること。
b) 文書化した情報が、(例として)機密性の喪失、不適切な使用、完全性の喪失から十分に保護されていること。
該当する場合には、必ず、次の行動に取り組まなければならない。
c) 配付、アクセス、検索及び利用
d) 保管及び保存(判読可能な状態の維持を含む)
e) 変更の管理(版の識別を含む)
f) 保持及び廃棄
ISO 27001の7.5.3「文書化した情報の管理」では、ISMSの文書を適切に利用・保護するための管理要件を定めています。文書は、必要なときに必要な場所で利用可能な状態を維持するとともに、機密性の喪失・不正使用、完全性の毀損からの保護も不可欠です。また、配布およびアクセス管理、保管、変更管理、廃棄などの活動を適切に実施することも求められます。これらにより、情報セキュリティの有効性と信頼性を確保します。
ISMS文書の文書体系について
ISMS文書は、上位から以下の5階層で構成する文書体系が一般的です。
- 基本方針
- 規程類
- 手順書・マニュアル
- 作業指示書
- 記録類
この5階層により、上位方針から現場運用にわたる体系的な管理体制の構築につながります。ISMS文書の文書体系について、階層ごとに解説します。
第1層:基本方針(Policy Level)
第1層「基本方針(Policy Level)」は、企業・組織の情報セキュリティに関する最高位の理念および方針を内外に示す文書であり、ISMS全体の基盤を成します。基本方針は、経営層が正式に承認し、全従業員および関係者への適切な周知が必要です。情報資産の保護目的、適用範囲、基本的な管理方針を明示し、下位規程および手順の策定における指針となります。基本方針の策定により、企業・組織全体で統一的かつ継続的な情報セキュリティの管理体制が構築可能です。
第2層:規程・基準(Control Standard Level)
第2層「規程・基準(Control Standard Level)」は、基本方針を具体化し、情報セキュリティ管理の枠組みおよび運用ルールを定める文書群です。ISMS運用規程、リスクマネジメント規程、アクセス制御基準などが含まれます。これらは、企業・組織全体で統一された管理水準を確保し、業務上の判断・行動の基準として機能する指針です。基本方針と同様に、経営層の承認を経て正式に制定され、下位の手順書やマニュアル作成の基礎となります。
第3層:手順書(Procedure Level)
第3層「手順書(Procedure Level)」は、第2層で定めた規程・基準を実務で実行するための具体的な方法を示す文書です。業務の流れ、担当者の役割、実施手順、必要な入力・出力情報などを明確に記載します。手順書の作成により、担当者間で作業の統一性と再現性が確保され、属人化の防止および品質の維持が実現します。手順書は、作成したものを定期的に見直し・改善を行うことを通じて、変化する業務環境・リスクに適合させることが肝要です。
第4層:作業マニュアル(Work Instruction Level)
第4層「作業マニュアル(Work Instruction Level)」は、第3層の手順書をさらに詳細化し、現場レベルでの具体的な作業方法を明示する文書です。個別業務、使用機器ごとの操作手順・設定方法、確認項目などを図表・画面例を交えて記載します。作業マニュアルを作成すれば、新任者でも業務遂行が容易になるほか、作業品質の均一化およびミス抑制にも有効です。作業マニュアルの内容は、実務の変化・設備更新に応じて適時改訂し、最新状態の維持が求められます。
第5層:様式・記録(Records & Forms Level)
第5層「様式・記録(Records & Forms Level)」は、ISMSの運用状況および実施結果を証拠として残すための文書群です。点検チェックリスト、申請書・報告書、ログ記録などが該当し、規程・手順の遵守状況を裏付ける役割を果たします。様式・記録は、内部監査・外部審査における重要なエビデンスとなり、トレーサビリティの確保および改善活動の基礎資料としても有効です。
ISMSにおける文書は、第1層の基本方針を基軸として5階層に細分化させて作成すれば、経営層から現場実務にいたるまで一貫性ある管理体制を構築できます。
ISMSにおいて文書化が必須の項目
ISMSに関する国際規格ISO27001では、最低限以下の内容に関する文書化は、審査において必要とされています。
ISMSの確立初期段階で必須の文書
ISMSを確立する初期段階で必須の文書は、以下のとおりです。
| 文書名 | 概要 | 文書例 |
|---|---|---|
| ISMSの適用範囲 (スコープ) |
ISMSの対象となる組織範囲、拠点、業務領域、情報資産を明確化する文書 | ISMS適用範囲定義書 ISMSスコープ設定書 |
| 情報セキュリティ 基本方針 |
組織の情報セキュリティに関する最上位方針を定める文書 | 情報セキュリティポリシー |
| 情報セキュリティ目的 | 情報セキュリティの達成目標と評価指標を示す文書 | 年度別情報セキュリティ目標設定書 |
| リスクアセスメント基準 | リスクの特定・評価・分類方法を定める基準文書 | 情報セキュリティリスク評価基準書 |
| リスクアセスメント結果 | 実施したリスクアセスメントの分析結果を記録した文書 | リスクアセスメント結果報告書 |
| リスク対応計画 | 特定されたリスクへの対応方法と実施計画をまとめた文書 | 情報セキュリティリスク対応計画書 |
| 適用宣言書(SoA) | ISO 27001の管理策の採用有無とその理由を明示した文書 | ISMS適用宣言書 |
上記に準拠した文書は、内部監査・外部審査でもエビデンス資料となります。
ISMSの運用段階で必須の文書
ISMSの運用段階で作成が必須とされている文書は、以下のとおりです。
| 文書名 | 概要 | 文書例 |
|---|---|---|
| 運用計画・運用手順 | ISMSの各管理策やセキュリティ業務を継続的かつ効果的に実施するための計画および手順を記載した文書 | 情報セキュリティ運用計画書 アクセス権管理手順書 バックアップ運用手順書 |
| 外部委託管理記録 | 委託先との契約内容や遵守事項、監査結果、評価記録など、外部委託業務の管理状況を示す記録 | 外部委託先監査報告書 委託業務管理台帳 |
| 変更管理の記録 | システム、業務手順、組織体制などの変更内容と、その影響評価・承認・実施履歴を記録した文書 | 変更管理記録簿 変更要求書・承認書 |
これらの文書は、ISO27001の認証取得ための外部審査の際に、ISMSの運用実態を証明する資料としても提示可能です。
パフォーマンス評価段階で必須の文書
ISMS文書のうち、パフォーマンス評価段階で必須の文書は、以下のとおりです。
| 文書名 | 概要 | 文書例 |
|---|---|---|
| 監視・測定の結果 | 情報セキュリティに関するパフォーマンス指標や管理策の有効性を測定・分析した結果を記録する文書 | 情報セキュリティ監視・測定結果報告書 KPI評価報告書 |
| 内部監査プログラム | ISMS内部監査の目的、範囲、頻度、手順、責任者などを体系的に定めた計画文書 | ISMS内部監査計画書 年間内部監査スケジュール |
| 内部監査結果 | 実施した内部監査の所見、適合・不適合事項、是正推奨事項を記録した文書 | 内部監査報告書 不適合報告書 |
| マネジメントレビュー記録 | 経営層がISMSの有効性や改善点を評価・決定した内容を記録した文書 | マネジメントレビュー議事録 レビュー結果報告書 |
これらの文書は、外部審査時にもパフォーマンス評価の証跡として明確に提示できます。
改善段階で必須の文書
ISMSの改善段階で必須の文書は、以下のとおりです。
| 文書名 | 概要 | 文書例 |
|---|---|---|
| 不適合および是正処置記録 | ISMS運用において発生した不適合事項と、その原因分析、是正処置の内容、実施結果を記録した文書。再発防止策や効果確認まで含めることで、継続的改善の証跡にもなる。 | 不適合・是正処置報告書 是正処置記録簿 改善活動報告書 |
これらの文書を揃えることで、ISMSの運用における改善活動の履歴が一目で把握でき、内部監査・外部審査の際にも即座に提示できます。また、過去の改善実績を参照できるため、将来的なリスク要因への対応策・予防策の策定にも活用可能です。
ISMSにおいて文書化が推奨される項目
ISMSに関する国際規格ISO27001では、文書化が必須ではない項目もあります。以下では、文書化が推奨されているとされる文書例を項目別に紹介します。
方針関連文書
方針関連文書とは、組織の情報セキュリティに関する基本的な考え方、管理の方向性、判断基準を明文化した文書群を指します。
ISMSにおいて、文書化が推奨されている方針関連文書は以下のとおりです。
情報セキュリティ組織体制規程(例:情報セキュリティ委員会規程、情報セキュリティ責任者および担当者の役割分担表)
- アクセス制御ポリシー(ユーザーID発行手順、権限付与・剥奪ルール)
- 暗号化ポリシー(暗号化方式の選定基準、鍵管理ルール)
- 物理セキュリティポリシー(入退室管理手順、監視カメラ運用ルール、サーバールーム入室許可基準)
- モバイルデバイス・テレワークポリシー(社外持ち出し端末の利用条件、VPN接続ルール、テレワーク時の情報漏えい対策)
- クラウドサービス利用ポリシー(利用許可プロセス、契約時のセキュリティ確認項目、データ保存先の制限)
- BYOD利用ポリシー(個人端末の登録手順、セキュリティソフト必須化、業務利用時の禁止事項)
手順書関連文書
手順書関連文書とは、ISMSの運用において、規程・方針で定められた要求事項を実際の業務で実施するための、具体的な方法・流れを記載した文書群を指します。
文書化が推奨されている手順書関連文書は、以下のとおりです。
- 情報資産管理手順書(情報資産台帳の作成・更新手順、分類基準、管理責任者の指定方法)
- 変更管理手順書(システム変更申請フロー、影響評価手順、承認・実施・記録方法)
- バックアップ手順書(対象データの選定基準、取得頻度、保存先、復元テスト手順)
- ログ管理・監査手順書(収集対象ログの種類、保存期間、監査時の抽出・分析方法)
- インシデント対応手順書(発生時の報告フロー、初動対応、原因分析、再発防止策策定手順)
- 脆弱性管理手順書(脆弱性情報の収集方法、影響評価基準、修正パッチ適用フロー)
- セキュリティ教育訓練計画(新入社員向け教育カリキュラム、年次訓練スケジュール、効果測定方法)
記録・フォーム関連文書
記録・フォーム関連文書とは、ISMSの運用状況および実施結果を文書化したものを指します。文書化が推奨されている記録・フォーム関連文書は、以下のとおりです。
- 資産管理台帳(情報資産名、管理番号、所在場所、管理責任者、機密区分の記載)
- 権限付与申請書・承認記録(申請者情報、対象システム、権限内容、承認者署名)
- 教育訓練参加記録(実施日、研修テーマ、参加者氏名、理解度評価)
- 外部委託先評価記録(評価日、評価担当者、契約遵守状況、改善指摘事項)
- 定期リスクアセスメント記録(評価対象、リスクレベル、対応方針、承認記録)
- 設備点検記録(点検日、対象設備、点検内容、異常有無、対応状況)
附属書A(Annex A)関連の補足文書
附属書A(Annex A)関連の補足文書とは、ISO 27001規格の附属書Aに記載されている管理策を、企業・組織内で実際に適用・運用するための補足文書群を指します。規格が要求する必須文書ではなく、運用の明確化および外部審査への対応の円滑化を目的として、作成が推奨されています。
文書化が推奨されている附属書A(Annex A)関連の補足文書は、以下のとおりです。
- メール利用ガイドライン(業務用メールの使用範囲、添付ファイルの暗号化方法、誤送信防止策)
- インターネット利用ガイドライン(業務外利用の制限、危険サイトへのアクセス禁止、ダウンロード制限ルール)
- データ分類・取扱い基準(機密・内部・公開の分類基準、ラベリング方法、取扱いルール)
- 情報廃棄ルール(紙媒体の裁断処理手順、電子データの完全消去方法、廃棄記録の管理)
- サードパーティ契約管理手順(契約前のセキュリティ評価項目、契約条項の必須要件、契約終了時の情報返却・削除確認手順)
- アクセス権レビュー記録(権限付与状況の定期確認結果、不要権限の削除記録、承認者署名)
- 暗号鍵管理手順書(鍵の生成・配布・保管・廃棄手順、アクセス制限、鍵更新ルール)
- 物理入退室管理台帳(入退室日時、氏名、入退室理由、立会人記録)
これらは、ISO27001の要求事項において作成必須とされていない文書です。しかし、ISMSの運用およびISO27001認証に関連した内部監査・外部審査において有効とされており、作成が推奨されています。
総括
本記事では、ISMSにおける文書化に関する要求事項、および5層モデルに準拠した文書体系について解説しました。
これらの文書は、ISO27001で必須とされるものに加え、運用の有効性および外部審査への対応を強化するために推奨される項目も含まれます。基本方針から記録類まで体系的に整備すれば、情報セキュリティ管理の一貫性と実効性が高まり、内部監査・外部審査での信頼性向上にも寄与します。
この記事の編集者
QFSjapan編集部
ISO審査・認証サービスを提供する「株式会社QFSjapan」が運営。ISOを新たに取得する方や、すでに運用中の方のお悩みや知りたいことを中心にお届けします。ISOの専門家として、信頼できる情報をISO初心者の方でも分かりやすくお伝えできるよう心掛けていきます。
