4.3 文書化に関する要求事項

4.3.1 一般
情報セキュリティマネジメントシステム(ISMS)を運用するためには、文書や記録を作成することが必要となります。

規格要求上は特に形式や、内容がどのようでなければならないという決まりはなく、自社にとって必要だと判断した範囲で、自社の使いやすいと考えられるものが作成されていれば、それで十分というのが原則の考え方です。

その中でも要求事項の中に、文書化を求めている項目はありまして、その中に明記されている項目に関しては文書に含めなければなりません。

ちなみに、この後文書と記録というものが同じ文書のジャンルの中に出てきますが、文書とは、手順などが記載されたもの、記録とは作業を実施した証拠となるもののことを指します。

また、文書化しなければならないものとして、次のものが要求されています。
・ 情報セキュリティ方針と、情報セキュリティ目標
・ ISMSを運用するのに必要な手順、実現しているセキュリティ対策
・ リスクアセスメントの方法、及びリスクアセスメントの結果、リスクの対応計画
・ 要求事項内で、「文書化された手順」を要求しているもの
・ 運用において発生する記録
・ 適用宣言書

4.3.2 文書管理
文書は、適切に管理しなければ手順のずれなどが生まれてしまい、結果として情報セキュリティレベルが下がることにつながってしまいます。
そのために、ポイントにまとめると次のことを実現することが求められています。
・ 確実に最新の文書が使えるようにしておき、必要な人が使えるように共有する
・ 自社が作成していない、外部の文書については、更新等が出来ないので、識別しておく
・ 版数を間違えないように版数管理を行う
・ 読みやすい文書を作る
・ 内容が適切か、定期的にチェックする

4.3.3 記録管理
記録は、作業を実施した結果としての証拠として残しておくことで、後ほど何か問題があった場合に原因を分析したり、証拠を残すことで作業の正当性を証明するために必要となります。
そのために、ポイントにまとめると次のことを実現することが求められています。
・ 何の記録なのかわかるように識別する
・ 保管場所を定め、必要な時に取り出せるようにしておく
・ 後ほど検索できるようにしておく
・ 必要な期間に必要な記録が残っているように保管期間を定める
・ 内容の不正な書き換えや、誤廃棄などが起こらないように保護する