QCプラネッツ

ISMS,ISO27001 運用する組織に必要な規程が何かがわかる

執筆者:

QCプラネッツ

カテゴリ:

本記事のテーマ

ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
情報セキュリティ(ISMS)を運用する組織に
必要な規程をあれこれ盛り込むと
大変です!
とはいっても、
要求事項が多い情報セキュリティに
規程は重要です!

本ブログは、規程群はシンプルにし、
組織運営が円滑になるポイントをわかりやすく解説します。

  • ① 規程の数は最小限にとどめる
  • ② QMSと比較するとISMSの規程は作りやすい
  • ③ ISMSの規程群の構成・特徴
  • ④ ISO27001 2022要求事項・管理策に乗せると作りやすい

① 規程の数は最小限にとどめる

ISO27001 2022を例に
34の要求事項と93 の管理策
を網羅する規程が必須です。


でも、
規程は全部でいくつ必要?

1つの要求事項に1規程とすると133個になり、

組織が回りません。。。絶対! 無理ゲーです!

なので、

組織が回すために
最小限の規程数としましょう。

② QMSと比較するとISMSの規程は作りやすい

QCプラネッツはQMSからマネジメントシステムを学んでいますが

QMSと比較してみると、ISMSの規程の作り方のヒントがわかります。

組織が必要とするQMSの規程とは

QMS(品質マネジメントシステム)を運用している組織では、
大同小異ありますが、下の表の規程群でまとめられていると思います。

ここで、設計、製造、検査部門の個別の規程は不含とし、
本社、事業部全体のQMS規程を列挙しました。

QMSも面倒ですが、
10数個の規程しかないことがわかります。

組織が必要とするISMSの規程とは

QMSを参考にすると、

ISMSも
10数個の規程にしぼらないと
組織運営が厳しいことがわかります。

ただし、

QMS: ISO9001 2015 要求事項は30個程度
ISMS:ISO27001 2022 要求事項+管理策=130個程度
と4倍の違いがあります。
ISMSの規程は
1つの規程でなるべく多くの
ISO27001 2022 要求事項、管理策の内容を
含めておく必要があります。

それも、

内容を統体して、
少ない規程情報でなるべく多くの
ISO27001 2022 要求事項、管理策の内容を
含めるよう努力しましょう。

QMS規程とISMS規程を比較

組織が円滑に運用できるための、最小限のISMS規程をまとめると下表を考えることができます。

もちろん

  • QMSとISMSで共通あるいは似通った規程
  • QMS単独の規程
  • ISMS単独の規程

がそれぞれあります。

③ ISMSの規程群の構成・特徴

ISMSに必要な規程群についてみていきましょう。

組織が必要とするISMSの規程とは

まず自分で考えてみよう!

ルールを決めなければいけないものを列挙すると

  • 情報セキュリティポリシー・方針
  • 情報セキュリティ目標
  • 情報セキュリティの年間活動
  • 情報セキュリティマニュアル
  • 組織の責任と権限
  • 力量管理
  • 監査(内部監査、第2者監査、外部審査)
  • アクセス権限の管理
  • 法規制関係
  • セキュリティ事故(インシデント)対応

が思い浮かぶはずです。これは、情報セキュリティの専門知識が無くても、
セキュリティ(防御)に必要な項目を考えたらわかるものですね。

ISO27001 2022要求事項を見てみよう

次に、以下の2つを検討します。

  • 要求事項+管理策から必要な規程を探すこと
  • それぞれの規程にどの要求事項+管理策を盛り込むかを考えること

要求事項+管理策から必要な規程を探すと

  • 事業継続
    (QMSよりISMSの方が深刻だから)
  • 物理的・環境的管理
    (管理策7にあり、比較的理解しやすい)
  • リスクマネジメント管理
    (リスクアセスメント運営を重視するため)

についての規程が追加で必要とわかります。

内容を統体して、
少ない規程情報でなるべく多くの
ISO27001 2022 要求事項、管理策の内容を
含めるよう努力しましょう。

となります。

④ ISO27001 2022要求事項・管理策に乗せると作りやすい

実際に組織に合うISMS規程群を作ってみましょう。

ISMSの組織運営のための規程群

ISMSの組織運営のための規程群は

  • QMSをヒントに最小限の規程群にする
  • 要求事項+管理策からISMS個別の規程群を盛り込む
  • 規程の内容は少な目であるが、要求事項+管理策を網羅するように、細かくではなく内容を統体して書く

とQCプラネッツから提唱しました。

ISMSの規程群の作り方

下図のように、

  • 必要最低限のISMS規程を一回作る。
  • 個別の「要求事項+管理策」に合う規程を探し割り当てる。
  • 「要求事項+管理策」に合わせるが、どうしても個別の規程が必要な場合は、規程を増やす
  • 「要求事項+管理策」のうち、複数の事項が1つにまとめることができる場合は、なるべくまとめる。まとめるために規程内容が少々抽象化してもよい。
  • 「要求事項+管理策」が全て入り切るまで何度も見直す

結構大変で何度もフィードバックや修正が必要な作業になります。

ISMSの規程群の例(QCプラネッツ)

QCプラネッツも実際に作ってみた規程群を例に
「要求事項+管理策」との関係図も紹介します。

【リンク】QCプラネッツのISMS規程群

いかがでしょうか?

ISMSの規程群を作る裏側はめったに紹介されませんが、
ここがISMSを有効に組織運営する大事なポイントです!

実際に規程群を泥臭く作ってみて実感しましたので、解説しました!

ISMSって結構泥臭い仕事

情報セキュリティのマネジメントシステムは
情報セキュリティの専門性の高さより
組織全体が目的に向かって進むために
いろいろ泥臭いことです。

情報セキュリティの専門の高さが高ければISMS,ISO27001が回せると思われがちですが、

組織の各メンバーが情報セキュリティに求められる行動をキチンと実行するかを監視したり、動機づけたりする方にエネルギーを集中すべきです。

ISMSを自力で構築(書類群をつくってみて)わかりました。

逆にいれば、
ソフトウェアや情報セキュリティが苦手でも、
組織運営を支える泥臭い仕事が好きであれば
ISMS,ISO27001は回せると言えます。

まとめ

以上、「ISMS,ISO27001 運用する組織に必要な規程が何かがわかる」を解説しました。

  • ① 規程の数は最小限にとどめる
  • ② QMSと比較するとISMSの規程は作りやすい
  • ③ ISMSの規程群の構成・特徴
  • ④ ISO27001 2022要求事項・管理策に乗せると作りやすい

投稿をさらに読み込む

error: Content is protected !!