ISO27001の認証取得において、附属書A 管理目的及び管理策の対応が要求されています。それぞれの要求事項ごとにどこまで文書を作成すべきか、お悩みの担当者も多いと思います。組織にある既存文書との関係をどうするか、全く文書が作成されていない組織 等、組織においてそれぞて状況は異なりますが、管理策の作成をどうするのかの判断についてこれまでの支援を踏まえてお伝えします。
附属書Aの項番に沿って規定文書を作成する
ISO27001の附属書Aでは、管理策の項番ごとの項目とどのような管理策が必要なのかを一覧にして示しているだけで、具体的にどのように管理策をつくるのか、その実施の手引きがISO27002の位置づけとなります。
「ISO27002 情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理策」は、要求事項ではありませんが、実質的にその実施の手引きに従って管理策が作られているのか、という観点で審査されます。
組織によっては、既に情報セキュリティを運用するための文書が存在しているところもあります。当然ですが、ISO27001の附属書Aに沿って作成されてなく、内容も抽象的で心構え的なものになっているものになっているのが殆どで、セキュリティの運用にどれだけ活かされているのかは不明なものをよく見かけました。
上述の組織でも、ISO27002の管理策の項目ごとにある実施の手引きに基づいて文書化をする必要があります。その際には、附属書Aの全てを網羅する規定文書のひな型を示して作成を支援します。既存の文書を一旦棚上げして、「(仮称)情報セキュリティ管理規程」として附属書Aの項番の順に沿って、項番ごとの実施の手引きを確認しながら作成していきます。ISMS文書の構成は下図になります。
単独で作成する文書の基準を決める
ずばり、ISO27002 A.5.1の「情報セキュリティの方針群」に示されている個別方針の例にあるものは、単独で作成するか否かを判断する基準になります。
ただし、そこに書かれている個別方針によっては、文書にするとボリュームがそれほどでもないものもあります。(例:クリアデスク・クリアスクリーン)その場合は、「(仮称)情報セキュリティ管理規程」に入れ込みます。
個別方針以外で、組織のこれまでの文書の整備状況や現状をみると、教育訓練の管理策や役割及び責任 等は、別に文書化した方が周囲にわかりやすく伝わる場合があります。弊社は、この2つの文書は別に作成して運用を支援しています。
まずは、個別の文書を作る基準としては、「社内に伝わりやすく、運用をしやすくするために」という事は基本に考えていただきたいと思います。既存文書との関係でお悩みの際は、可能な限り、ISMSの文書の整備を優先して取り組む事をお勧めします。社内での調整に想定以上の手間や時間がとられたりするケースが多いからです。
なかなか判断がつかない場合もあると思います。その際は、お気軽にご相談ください。