ISMS文書の策定

1．ISMSの文書体系
ISMSを運用するために必要な文書の体系を決定する必要があります。文書の体系を決める際には、次の文書体系を参考とするとよいでしょう。

　a.基本ポリシー
　ISMS全体の考え方や、方針を定義する文書です。
　例：　情報セキュリティ基本方針、個人情報保護方針

　b.スタンダード・規定類
　ISMSにおいて守るべきルールなどを規定する文書です。
　例：　情報セキュリティ管理規定、外部委託業者管理規定、個人情報取扱規定、教育規定、情報資産取扱
　規定、情報システム利用規定、ネットワーク管理規定、サーバルーム管理規定、情報システム保守運用
　規定など

　c.プロシージャ・手順書類
　ルールなどを守るために、具体的な手順などを規定した文書です。また、文書体系を決定する際には、文書
　を使用する対象が誰なのか、ということを考慮に入れる必要があります。また対象ごとに文書を分けたほうが
　内容がわかりやすくなることもあります。文書を分ける際には次のような分け方がありますので参考にして
　ください。

　・部門単位　部門ごとに実施するルールなどの内容が異なる場合
　・業務単位　かかわる業務によって実施するルールなどの内容が異なる場合
　・施設単位　業務を実施している施設によって実施するルールなどの内容が異なる場合
　・役割、役職単位　ISMS上の役割、役職によって実施するルールなどの内容が異なる場合
　 例：　リスク評価手順書、リスク管理表、情報システム操作手順書、オペレータ手順書、文書・記録管理一覧
　 表など


2．ISMS文書の必要性
ISMS文書を作成する際には、まず本当にその文書が必要かどうかを検討することが重要です。文書が必要以上に多いほど、従業員は読まなくなる傾向が強いため、必要最低限の文書量に抑えることも、成功のポイントといえます。必要であるかを判断する際には次のことを考慮しましょう。

　a.ISMS文書がなくても、定めたルールが遵守されるか。

　b.必要な人間が必要な手順を実施できるよう標準化されているか。

　c.文書がなくても、判断ミスやオペレーションミスは起きないか。


3．ISMS文書の作成時
ISMS文書の内容に関して、特に規格上の要求はありません。どんなに詳細なマニュアルでも、逆に簡易なマニュアルでも規格上は問題ありません。だからこそ、文書作成時には組織のニーズに合った文書量と表現にすることを心掛けて作成することが重要です。文書を作成する際は次のことに注意して作成しましょう。

　a.内容は読みやすく、意味がわかりやすいか。

　b.マニュアルに書いてある内容を読めば該当業務ができるか。

　c.担当者が、どれが自分に必要な文書かを認識できるか。