ISO27001/ISMS取得コンサルティング、プライバシーマーク/Pマーク取得コンサルティングなら名古屋のエスケイワード コンサルティング事業部まで

よくあるご質問

ご相談・お問い合わせ無料 電話番号:052-953-7161 メールでのお問い合わせはこちら
初めての方はこちら(資料無料ダウンロード)
HOME > よくあるご質問 > ISO27001でどのようなマニュアルを作りますか?

よくあるご質問

ISO27001でどのようなマニュアルを作りますか?

一般的に以下のマニュアルを作成することとなります。

① 情報セキュリティ基本方針
② ISMSマニュアル
③ 適用宣言書
④ 運用面でのマニュアル
⑤ リスクアセスメント規程
⑥ 情報セキュリティ体制表
⑦ 様式、帳票類

① 情報セキュリティ基本方針

複数あるマニュアル類の中で、一番最上位にくる物です。
よくISO27001を取得している企業のホームページ等に記載してあったり、その企業の入り口付近にISO27001の認証書と一緒にこの情報セキュリティ基本方針が壁面等に掲載してある事があります。

最上位とはいえ、文字数自体は多くなく、A4の紙1枚程度で納まることが多いです。

② ISMSマニュアル

ISOマネジメントシステム規格について、その構造、分野共通の要求事項及び用語・定義を共通化することが定められました。具体的には「品質のISO9001」「環境のISO14001」「情報セキュリティのISO27001」等、内容が違うため、項番等バラバラでしたが、これが、今回の改定に伴い、共通規格化されました。

以下、共通化が求められている目次構成

P→D→C→A を回すための仕組みのマニュアルと考えて頂ければわかりやすいでしょう。

③ 適用宣言書

情報セキュリティで、どういう管理策が必要になるかを文書化した物です。
ISO27001:2013 付属書Aの管理策には114項目あります。
但しその管理策114項目をすべて選択する必要はなく、組織において除外しても問題ない管理策があれば、それを明確に文書化しておく必要があります。

④ 運用面でのマニュアル

詳細管理策の内容を分かりやすく落とし込みした内容です。

①と②は大枠の方針のマニュアルとなりますが、こちらに細かい内容を記載してしまうと、ルールが変更となった際に改定作業が大変になってしまうかもしれません。

細かい運用面のマニュアルは別とした方が管理が楽になるでしょう。

具体的には、教育マニュアルや、情報システム責任者が管理するサーバーやネットワーク設定等のマニュアル、BCP(事業継続計画)マニュアル運用面での一般社員向けへのセキュリティルールマニュアル等となります。

それ以外では、
・リスクアセスメントを実施するマニュアル
・情報セキュリティ体制表
・様式、帳票類等
・文書管理台帳
・ネットワーク体系図
・フロアレイアウト図
・ハードウェアの台帳管理表等があります。


クイックメニュー


HOMEサイトマップ