ISO27001/ISMS、テレワークセキュリティ対策支援、プライバシーマーク/Pマーク取得のことなら名古屋のエスケイワード コンサルティング事業部まで
Pマーク・ISO27001取得・運用・テレワーク支援
コンサルティング事業部
お電話でのお問い合わせ
052-953-7167
受付時間 平日9:00~18:00
よくあるご質問
ISO27001でどのようなマニュアルを作りますか?
一般的に以下のマニュアルを作成することとなります。
- 情報セキュリティ基本方針
- ISMSマニュアル
- 適用宣言書
- 運用面でのマニュアル
- リスクアセスメント規程
- 情報セキュリティ体制表
- 様式、帳票類
① 情報セキュリティ基本方針
複数あるマニュアル類の中で、最上位にくる物です。
よくISO27001を取得している企業のホームページ等に記載してあったり、その企業の入り口付近にISO27001の認証書と一緒にこの情報セキュリティ基本方針が壁面等に掲載してある事があります。
最上位とはいえ、文字数自体は多くなく、A4の紙1枚程度で納まることが多いです。
② ISMSマニュアル
ISOマネジメントシステム規格について、その構造、分野共通の要求事項及び用語・定義を共通化することが定められました。
具体的には「品質のISO9001」「環境のISO14001」「情報セキュリティのISO27001」等、内容が違うため、項番等バラバラでしたが、これが、今回の改定に伴い、共通規格化されました。
以下、共通化が求められている目次構成
| 0. | 序文 |
|---|---|
| 1. | 適用範囲 |
| 2. | 引用規格 |
| 3. | 用語及び定義 |
| 4. | 組織の状況 |
| 4.1 | 組織及び状況の理解 |
| 4.2 | 利害関係者のニーズ及び期待の理解 |
| 4.3 | XXXマネジメントシステムの適用範囲の決定 |
| 4.4 | XXXマネジメントシステム |
| 5. | リーダーシップ |
| 5.1 | リーダーシップ及びコミットメント |
| 5.2 | 方針 |
| 5.3 | 組織の役割、責任及び権限 |
| 6. | 計画 |
| 6.1 | リスク及び機会への取組み |
| 6.2 | XXX目的及びそれを達成するための計画策定 |
| 7. | 支援 |
| 7.1 | 資源 |
| 7.2 | 力量 |
| 7.3 | 認識 |
| 7.4 | コミュニケーション |
| 7.5 | 文書化された情報 |
| 8. | 運用 |
| 8.1 | 運用の計画及び管理 |
| 9. | パフォーマンス評価 |
| 9.1 | 監視、測定、分析及び評価 |
| 9.2 | 内部監査 |
| 9.3 | マネジメントシステムレビュー |
| 10. | 改善 |
| 10.1 | 不適合及び是正処置 |
| 10.2 | 継続的改善 |
P→D→C→A を回すための仕組みのマニュアルと考えて頂ければわかりやすいでしょう。
③適用宣言書
情報セキュリティで、どういう管理策が必要になるかを文書化した物です。
ISO27001:2013 付属書Aの管理策には114項目あります。
但しその管理策114項目をすべて選択する必要はなく、組織において除外しても問題ない管理策があれば、それを明確に文書化しておく必要があります。
④運用面でのマニュアル
詳細管理策の内容を分かりやすく落とし込みした内容です。
①と②は大枠の方針のマニュアルとなりますが、こちらに細かい内容を記載してしまうと、ルールが変更となった際に改定作業が大変になってしまうかもしれません。
細かい運用面のマニュアルは別とした方が管理が楽になるでしょう。
具体的には、教育マニュアルや、情報システム責任者が管理するサーバーやネットワーク設定等のマニュアル、BCP(事業継続計画)マニュアル運用面での一般社員向けへのセキュリティルールマニュアル等となります。
それ以外では、
- リスクアセスメントを実施するマニュアル
- 情報セキュリティ体制表
- 様式、帳票類等
- 文書管理台帳
- ネットワーク体系図
- フロアレイアウト図
- ハードウェアの台帳管理表等があります。
まとめ
「どのような対策を取ればいいのか分からない」「具体的にどこから手をつければよいのかわからない」という場合は、弊社のISO27001取得・運用支援をぜひご活用ください。御社に合わせた適切なご提案をさせていただきます。まずはお気軽にご相談ください。