あなたは、ISO 27001にはたくさんの手順が必要だと聞いたかもしれませんが、必ずしも正しくありません。 実際に規格が文書化を要求している手順は、文書の管理策の手順、内部ISMS監査の手順、是正処置の手順、予防処置の手順の4つだけです。 「文書化」という用語は、「その手順を確立し、文書化し、実施し、かつ、維持している」ことを意味します(ISO/IEC 27001、4.3.1注記1)。 注記: このブログポストでは、ISMS適用範囲、ISMS方針、リスクアセスメント方法論、リスクアセスメント報告、適用宣言書、リスク対応計画などの必須文書には言及しません。ここでは手順だけに重点を置きます。 文書管理策の手順(文書管理手順)では、文書の承認やレビューに責任を負う人、変更・改訂の状態を特定する方法、文書を配布する方法などを定義する必要があります。 言い換えれば、この手順は、組織の血液(文書の流れ)の働きを定義する必要があります。 内部監査の手順では、監査を計画・実施する責任、監査結果の報告方法、記録の管理方法を定義する必要があります。つまり、監査を実施する際の主なルールを設定する必要があるということです。 是正処置の手順では、不適合およびその原因を特定する方法、必要な処置を定義・実施する方法、記録すべき事、処置のレビューを行う方法などを定義する必要があります。 この手順の目的は、不適合が再度発生しないように各是正処置でその原因を取り除く方法を定義することです。 予防処置の手順は、是正処置の手順とほとんど同じです。両者の違いは、不適合がまず発生しないように原因から取り除くことを目標としているということです。この2つの手順は似ているので、1つにまとめられるのが普通です。 でも、ISO 27001では情報セキュリティに関係しない手順も文書化する必要があるのに、なぜセキュリティ手順は必須ではないのでしょうか。 その答えはリスクアセスメントです。ISO 27001ではリスクアセスメントを実施する必要があります。そして、このリスクアセスメントによって容認できないリスクが特定されたときには、そのリスクを低減するような附属書Aの管理策を実施することを求めています。 管理策には、技術的なもの(悪意のあるソフトウェア攻撃のリスクを減らすアンチ・ウィルス・ソフトウェアなど)もあれば、方針や手順の導入(バックアップ手順の導入など)のように組織的なものもあります。したがって、このような手順が必須になるのは、リスクアセスメントで許容できないリスクが特定された場合だけです。 でも、重要な注意事項が一つだけあります。文書化が義務付けられた4つの手順とは逆に、附属書Aの管理策の手順は、文書化する必要がありません。そのような手順を文書化すべきかどうかを考えるのは、組織側の責任です。 義務付けられた4手順は、(セキュリティの基本方針と共に)マネジメントシステムの柱と考えることができます。この柱を地面にしっかりと建てておけば、家の壁を建てることができます。 このことは、他のマネジメントシステムを見れば明らかです。同じ4手順が、ISO 9001(品質マネジメントシステム)や、ISO 14001(環境マネジメントシステム)や、BS 25999-2(事業継続管理システム)でも必須になっています。 したがって、これらの手順は、いわゆる「統合マネジメントシステム」を開発する際にも、異なるマネジメントシステム間の主な接点として利用できます。 — また、弊社のビデオ・チュートリアルHow to Write ISO 27001/ISO 22301 Document Control Procedure(市販ビデオ)もご利用ください。
↧