ISO27001/ISMS取得コンサルティング、プライバシーマーク/Pマーク取得コンサルティングなら名古屋のエスケイワード コンサルティング事業部まで

よくあるご質問

ご相談・お問い合わせ無料 電話番号:052-953-7161 メールでのお問い合わせはこちら
初めての方はこちら(資料無料ダウンロード)
HOME > よくあるご質問 > ISO27001でどのようなマニュアルを作りますか?

よくあるご質問

ISO27001でどのようなマニュアルを作りますか?

一般的に以下のマニュアルを作成することとなります。

① 情報セキュリティ基本方針
② ISMSマニュアル
③ 適用宣言書
④ 運用面でのマニュアル
⑤ リスクアセスメント規程
⑥ 情報セキュリティ体制表
⑦ 様式、帳票類

① 情報セキュリティ基本方針

複数あるマニュアル類の中で、一番最上位にくる物です。
よくISO27001を取得している企業のホームページ等に記載してあったり、その企業の入り口付近にISO27001の認証書と一緒にこの情報セキュリティ基本方針が壁面等に掲載してある事があります。

最上位とはいえ、文字数自体は多くなく、A4の紙1枚程度で納まることが多いです。

② ISMSマニュアル

ISOマネジメントシステム規格について、その構造、分野共通の要求事項及び用語・定義を共通化することが定められました。具体的には「品質のISO9001」「環境のISO14001」「情報セキュリティのISO27001」等、内容が違うため、項番等バラバラでしたが、これが、今回の改定に伴い、共通規格化されました。

以下、共通化が求められている目次構成

序文
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織の状況
4.2 利害関係者のニーズ及び期待の理解
4.3 XXXマネジメントシステムの適用範囲の決定
4.4 XXXマネジメントシステム
5. リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限
6. 計画
6.1 リスク及び機会への取組み
6.2 XXX目的及びそれを達成するための計画策定
7. 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化された情報
8. 運用
8.1 運用の計画及び管理
9. パフォーマンス評価
9.1 監視、測定、分析及び評価
9.2 内部監査
9.3 マネジメントシステムレビュー
10. 改善
10.1 不適合及び是正処置
10.2 継続的改善

P→D→C→A を回すための仕組みのマニュアルと考えて頂ければわかりやすいでしょう。

③ 適用宣言書

情報セキュリティで、どういう管理策が必要になるかを文書化した物です。
ISO27001:2013 付属書Aの管理策には114項目あります。
但しその管理策114項目をすべて選択する必要はなく、組織において除外しても問題ない管理策があれば、それを明確に文書化しておく必要があります。

④ 運用面でのマニュアル

詳細管理策の内容を分かりやすく落とし込みした内容です。

①と②は大枠の方針のマニュアルとなりますが、こちらに細かい内容を記載してしまうと、ルールが変更となった際に改定作業が大変になってしまうかもしれません。

細かい運用面のマニュアルは別とした方が管理が楽になるでしょう。

具体的には、教育マニュアルや、情報システム責任者が管理するサーバーやネットワーク設定等のマニュアル、BCP(事業継続計画)マニュアル運用面での一般社員向けへのセキュリティルールマニュアル等となります。

それ以外では、
・リスクアセスメントを実施するマニュアル
・情報セキュリティ体制表
・様式、帳票類等
・文書管理台帳
・ネットワーク体系図
・フロアレイアウト図
・ハードウェアの台帳管理表等があります。


クイックメニュー


HOMEサイトマップ