ISO27001:2022 対応日記 ドキュメントの修正編
ISMS・ISMAPの作業に追われていて記事を作成する時間がなかなか取れませんでした。移行審査に向けた作業は順調に進んでいます。
前回の記事では、移行計画の承認についてお伝えしました。
この記事では、サイボウズのISMS移行審査について、継続して投稿しています。今回は、ISMSのプロセスを定めた「ISMSマニュアル」の修正点について書きました。
ISMSマニュアルとは?
ISMSはマニュアルに従って実施する
ISMSは定められた手順に従って、実施する必要があります。セキュリティ マネジメント システムの構築が求められているので、何の手順も定められていないと、システムが構築できているとは言えないです。
サイボウズの「ISMSマニュアル」の中身
ISMSマニュアルには、どのようなことを記載すべきか。サイボウズのISMSマニュアルに、どのようなことを記載しているかを一部紹介します。
概要
ISMSの目的、適用範囲
情報セキュリティ組織
体制、役割、責任、連絡体制
日々の活動
さまざまな場面で、どの規則に基づき業務を実施しているか
緊急時の対応、事業継続計画
経営者
経営者のコミットメント、責任、権限
マネジメントレビューのやり方
情報セキュリティ管理責任者
ISMSの計画、内部監査の手順
など
業務プロセス
ISMS適用範囲の業務プロセス
人事管理
教育・訓練
システム管理
システム管理プロセス
さまざまなことが書かれているため、ボリュームの大きいドキュメントとなっています。
どのような修正をしたか?
引用規格
引用規格を ISO/IEC 27001:2022 に変更するので、修正しました。
紐づけしている管理策番号
サイボウズの ISMSマニュアルは、通常業務(例えば、リモートワークを実施する場合に適用されるルールなど)の規則の記載や、適用範囲の業務プロセスを、簡単に記載しています。それぞれ ISMS管理策の番号を紐づけて、この規則が、どの管理策に紐づいているかがわかるようにしています。2022版では、管理策の番号が変わっているため、紐づけていた管理策番号を入れ替える必要がありました。
新規に追加された管理策
2022版で新規に追加された管理策があるので、実際の業務プロセスで実施している対策が、新規追加された管理策に該当するものがあれば、追記していく必要があります。
そのためには、2022版で追加された管理策を理解し、実業務で管理策を満たしていないものがないか、ギャップ分析が必要となります。サイボウズでは、新規管理策を満たしていないものはない(はず)と判断したので、実業務のプロセスの追記と、新規管理策の紐づけを追記しました。
ISMSプロセス
2022版への変更点には、ISMSの進め方自体(ISMSのPDCAサイクルのこと)に大きな変更はないため、ISMS やり方に関する記載に大きな変更は加えませんでした。
その他
サイボウズでは、2011年に ISMSマニュアルを作成したあと、数々の ISMS審査を潜り抜け、指摘を受けるたびに、ISMSマニュアルの修正対応や、ISO/IEC 27017、ISMAPの対応による追記を繰り返し実施してきました。
繰り返しの修正で、インデントや採番がずれている部分があったり、技術的に古い記載が残っているなどを発見したりなどがあり、細かい部分の見直しをすることができました。仕上がりには満足しています。
ISMSコンサルティング
ISMS関連ドキュメントの修正について、当初は自社でやり切ってしまおうと考えていましたが、不安もあったため、最初に ISMSを実施したときにお世話になった ISMSコンサルティング会社さんに相談してみました。
ひな形を提供いただき、ドキュメントの修正に関する相談に乗っていただき、修正したドキュメントのレビューまで実施いただきました。相談に乗っていただいたことで、スムーズに対応でき、修正内容に自信を持つこともできました。今後のリスクアセスメント、内部監査も安心です。
[PR] kintone でISMSの文書管理
サイボウズでは、ISMSを推進する上で弊社製品 kintone を活用しています。ISMS文書は、適切に保存し、管理者や経営層の承認などが求められる文書も存在します。ISMS文書を保管する kintone アプリに文書を保管し、kintone のプロセス管理機能を使って、承認プロセスを回しています。
kintone 上に ISMS文書をまとめることで、ISMS審査時に迷わずに文書を提示し、承認プロセスが適切に行われていることを説明することが容易になります。
まとめ
2022版対応のため、ISMSプロセスを定めた文書の変更が必要
まずは、2022版の変更点、特に新しく追加された管理策を理解する
新管理策と、実際の業務とのギャップ分析が必要
コンサルティングを頼むと安心