ISMSで文書化が求められる項目とは？-附属書A編-

2023年4月16日 12:17

この記事では、ISMSにおいて文書化が求められている項目について整理します。
ISMSにおいては、規格の項目によっては「文書化した情報」を準備することが求められていますが、各項目でどのようなことが求められているのでしょうか。

今回は後編として附属書A部分における文書化要求がある項目について整理してみましょう。

そもそも「文書化した情報」とは

文書化した情報の概念については前編の記事でもまとめていますので、ぜひこちらもご覧ください。

この項目では、「情報資産の許容される利用に関する規則、取扱い」を文書化することが求められています。
つまり、「この情報誰が使っていいんだよ」「使う時はこういうふうに使ってね」といったことを文書化しましょうということです。

一般的には、情報資産の台帳に「利用者」のような項目を作って利用の範囲を明確にしたり、各情報の取り扱いのルールブックを作ることが多いでしょう。

この項目そのもので文書化が求められているものがあるわけではないものの、要求内に「インシデントは、文書化した手順に従って対応しなければならない」という文言が含まれています。
つまり実質的に、文書化したインシデント手順が存在することが前提となっています。

「文書化した手順」ですので一般的にルールブックやインシデント対応フロー図のようなものを整備しておくことが多いでしょう。

この項目では、「情報セキュリティに関連する法令、規制及び契約上の要求事項とそれを満たすための組織の取り組み」を文書化することが求められています。

一般的には法令等管理簿のような法令と関連する要求事項などをまとめた一覧表を作成することが多いです。また、契約上の要求事項という観点でいうと、契約書などもその一部に含まれると考えることもできるかもしれません。

ちなみに今回のテーマとは少しずれますが、この項目では文書化したものを最新に保つことも求められているため定期的な見直しもマストとなります。

この項目では、「情報処理設備の操作手順」を文書化することが求められています。

管理策名がそのまま「操作手順書」なので、作るべき文書化した情報もそのまま手順書になります。ただ自分たちで作るもの以外に、利用している設備などのマニュアルをそのまま用いることも操作手順書の一つといえます。

【補足】"情報処理設備（Information processing facilities）"とは
情報の収集、加工、処理、保管、送受信などを行うような設備や施設のことです。例えばコンピュータやサーバ、ネットワーク機器などが一般的にイメージしやすいでしょう。

この項目では、「秘密保持契約または守秘義務契約」について文書化することが求められています。

基本的には秘密保持契約書や守秘義務契約書、またそれらの項目を含むような契約書、同意書などが文書化されたものと考えられます。

この項目では、「ハードやソフト、サービス、ネットワークのセキュリティ構成を含む構成」を文書化することが求められています。

例えば様々な装置やネットワークなどでどのような設定を行うのかの規定や、MDMツール上で設定しているポリシーそのものなどが文書化した情報として考えられます。

この項目では、「セキュリティに配慮したシステムを構築するための原則」を文書化することが求められています。

一般的には開発方針や開発チーム内での作業ドキュメント、また外部の開発に関するガイドラインなどが文書化した情報として想定されそうです。

今回は附属書A部分で文書化要求がある項目について整理しました。
こちらについても文書化要求のない管理策であったとしても、各管理策で文書化した方が良さそうと考える場合、また実際対応していてもその証跡が残らなさそうな場合などは文書化を検討してみても良いかもしれません。

この記事が気に入ったらサポートをしてみませんか？