2026年4月7日
1.ISMSに必要な14の文書
ISMS(ISO27001)の規格要求事項では、
以下の14項目について「文書化した情報」として保持・維持することが明確に要求されています。
これらはISMSを構築し、審査を受ける上で必要書類となります。
| 項番 | 内容 |
|---|---|
| 4.3 情報セキュリティマネジメントシステムの適用範囲の決定 | 文書(ISMSマニュアルなど) |
| 5.2 方針 | 文書(情報セキュリティ方針) |
| 6.1.2 情報セキュリティリスクアセスメント | 文書(リスクアセスメント規程) |
| 6.1.3 情報セキュリティリスク対応 | 文書(リスク対応計画など) |
| 6.2 情報セキュリティ目的及びそれを達成するための計画策定 | 文書(情報セキュリティ目的管理表など) |
| 7.2 力量 | 記録(教育実績表など) |
| 7.5.3 文書化した情報の管理 | 文書(関連法規制一覧など) |
| 8.1 運用の計画及び管理 | 記録(各種運用記録) |
| 8.2 情報セキュリティリスクアセスメント | 記録(情報セキュリティリスクアセスメント表) |
| 8.3 情報セキュリティリスク対応 | 記録(リスク対応結果の記録) |
| 9.1 監視,測定,分析及び評価 | 記録(測定結果のレポートなど) |
| 9.2 内部監査 | 記録(内部監査報告書) |
| 9.3 マネジメントレビュー | 記録(マネジメントレビュー議事録) |
| 10.1 不適合及び是正処置 | 記録(是正処置報告書) |
また上記14の文書以外にも、7.5.1 b)で「ISMSの有効性のために必要であると組織が決定した、文書化した情報」も要求しています。
これには、組織の実態に合わせて作成する具体的な管理規程や手順書、様式などが含まれます。
例えば、情報資産台帳や委託先管理台帳、各種手順書などが該当します。
2.ISMSの審査で必要な書類は「文書類」と「記録類」
ISMSの審査で必要な書類は「文書類」と「記録類」の2つに分類されます。
ISMS(情報セキュリティマネジメントシステム)の認証取得・維持するためには、認証機関による審査を受ける必要があります。審査では、組織が構築したISMSが国際規格であるISO27001の要求事項に適合しているか、そしてそのルールが実際に有効的に運用できているかを評価します。
この評価の際に、審査員が客観的な証拠として確認するのが、「文書類」と「記録類」です。要求事項の「7.5 文書化した情報」に沿って、審査前の準備としてこれらの必要書類を適切に管理することが重要です。
| 文書類 | 記録類 | |
|---|---|---|
| 役割 | ISMSのルール、方針、計画や手順を定める。 | ルールや計画に基づいて行った結果を記録した文書。 |
| 性質 | 今後どうするか(すべきか)を示す、定型的な情報。 | 活動の証拠(エビデンス)。 |
| 主な文書 | ・情報セキュリティ方針 ・適用宣言書 ・手順書など | ・情報資産リスクアセスメント表 ・内部監査報告書 ・マネジメントレビュー議事録など |
| 審査 | ISMSのルール、方針、計画や手順が規格要求事項と適合しているか。 | ルールや手順が実際に守られ、有効的に運用されているか。 |
⑴文書類とは
文書類とはISMSのルール、計画や手順を定めたものです。
文書類の構成は以下の3つで、それぞれの文書例をご紹介いたします。
■基本方針
| 情報セキュリティ方針 | 社内の情報資産を守るために、どんなことをしていくかを示した文書。 掲載しなければならない項目が一部決まっていますので、要求事項に沿って策定します。 |
|---|---|
| ISMSマニュアル | ISMS(情報セキュリティマネジメントシステム)を運用していく際のルールを定めた文書。 |
| 適用宣言書 | 組織のISMS(ISO27001)に関連して適用する管理目的及び管理策を記述した文書。適用するかどうか判断する項目は全部で114項目あります。 |
■管理規程
| 安全管理規定 | 適用宣言書にて宣言した管理項目について具体的に管理策を記述した規定になります。 安全管理規定は主に組織のセキュリティルールを記述した文書。 |
|---|---|
| 情報セキュリティ管理規程 | 組織で取り扱う情報のセキュリティを保護するために定められたルールをまとめた文書。 |
| リスクアセスメント規程 | リスクアセスメントをどのように実施するかについて、具体的な方針、ルール、手順などを定めた文書。 |
■管理手順
| リスク対応計画 | 情報セキュリティのリスクが想定される事象に対し、回避または残留リスクとして管理するための施策を計画し、実施するための文書。 |
|---|---|
| 情報セキュリティ目的管理表 | リスクアセスメント実施後に、リスク軽減したい内容、目標などを記載した文書。 |
| 教育計画 | 教育の対象者、教材、実施方法、実施結果をまとめた文書。 |
| 事業継続計画マニュアル | 天災や事故といった不測の事態においても情報セキュリティを維持し、事業を継続するための計画や手順を定めた文書。 |
| 関連法規制一覧 | 自社の事業活動や情報資産の管理に関連する法律、政令、条例、ガイドラインなどをリストアップし、それらを遵守するための管理策や手順を明確にするための文書。 |
⑵記録類とは
記録類は、ISMSのルールや計画に基づいて活動した結果を示す文書です。
審査では、文書化されたルールが実際に運用されているかを確認するために、これらの記録が重要な証拠となります。
以下記録類の例です。
■記録類
| 情報資産リスクアセスメント表 | リスクアセスメントのプロセスと結果を記録した文書。 |
|---|---|
| 情報資産管理台帳 | ISMSの管理対象となる情報資産を特定し、一覧化した文書。 |
| 内部監査チェックリスト | 内部監査を実施する際に使用する文書。 |
| 内部監査報告書 | 内部監査の実施結果を記録した文書。 ISMSが適切に機能しているかどうかの評価結果がまとめられており、審査の際に求められることがあります。 |
| 教育実績表 | 従業員に対して情報セキュリティ教育を実施した実績を記録する文書。 |
| 事業継続計画・結果 | 天災や事故といった不測の事態が発生した際に、情報セキュリティを維持しながら事業を継続するための計画と、その訓練や実際のインシデント対応の結果を記録した文書。 |
| 不適合(インシデント)是正処置報告書 | 審査で発見された「不適合」や、発生した情報セキュリティインシデント)に対して、どのような是正処置を講じたかを記録し、報告するための文書。 |
| マネジメントレビュー議事録 | トップマネジメントがISMSの現状を評価し、修正や改善を指示した内容を記録した文書。 |
.png)
3.文書の作成・更新は「7.5.2 作成及び更新」に基づいて行う
規格要求事項「7.5.2 作成及び更新」では、文書の作成・更新について以下のように要求されています。
7.5.2 作成及び更新
文書化した情報を作成及び更新する際,組織は,次の事項を確実にしなければならない。
a) 適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号)
b) 適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)
c) 適切性及び妥当性に関する,適切なレビュー及び承認引用:ISO/IEC27001:2022
この要求事項は、文書の識別(タイトル、日付など)、形式(言語、媒体など)、レビューと承認を確実にすることを求めています。
ISMSの規格では文書の書式を細かく規定していないため、組織の実態に合わせて作成することが可能です。
重要なのは、これらの文書が単なる形式的なものではなく、従業員が内容を理解し、実践できる有効性を持っていることです。
文書体系を整備し、ルールと手順を明確にすることで、情報セキュリティリスクの低減につながります。
規格要求事項「7.5.2 作成及び更新」で定められている3項目について詳しく解説します。
⑴a) 適切な識別及び記述(例えば、タイトル・日付・作成者・参照番号)
これは、作成・更新した文書が「何の文書か」「いつのものか」を誰でも識別できるようにするための要求事項です。
- タイトル
- 「ISMSマニュアル第1版250925」、「情報セキュリティ管理規程第2版250714」など、内容とバージョンを明示しましょう。
- 日付
- 文書の作成日や改訂日を記載する。また改訂履歴表を文書冒頭に含めると、変更の履歴確認が容易になります。
- 作成者
- 文書を作成した責任者を記載しましょう。
- 参照番号
- 各文書に番号を割り振ることで検索がしやすくなります。
⑵b) 適切な形式(例えば、言語・ソフトウェアの版・図表)及び媒体(例えば、紙・電子媒体)
これは、文書を利用する人が読みやすく、理解しやすい形式で作成し、適切な媒体で管理するための要求事項です
- 言語
- 組織の主要な業務言語(例:日本語)で文書を作成しましょう。多国籍企業では、英語版も併せて用意し、翻訳の正確性を確認することが重要です。
- ソフトウェア版
- ソフトウェアのバージョンを管理し明確にしましょう。
- 図表の活用
- リスクアセスメント規程やプロセス手順書では、フローチャートや表を使用して視覚的にわかりやすくしましょう。
【媒体の選択】
- 電子媒体
- 文書管理システムやクラウドを使用し、アクセス制御を行いましょう。
- 紙媒体
- 機密性の高い文書を保管する場合、施錠されたキャビネットなどで管理しましょう。
⑶c) 適切性及び妥当性に関する、適切なレビュー及び承認
これは、文書の内容が組織のISMSの目的や実態に適合し、誤りや不適切な内容が含まれていないことを保証することを目的としています。
一般的には、「文書作成→文書確認→責任者による承認」というルールを明確に定めます。
4.まとめ
本記事では、ISMS認証の取得・維持のISMS必要書類について、その全容を解説しました。
審査をスムーズに進めるためには、規格で明確に要求されている必須の14文書に加え、組織の実態に合わせて作成する文書類(ルール・計画)と、活動の証拠となる記録類(エビデンス)を適切に準備・管理することが重要です。
特に、文書の作成・更新は規格要求事項「7.5.2」の
「適切な識別及び記述」
「適切な形式」
「適切性及び妥当性に関する、適切なレビュー及び承認」に準拠した文書作成が必要です。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービス紹介資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・当社の『サポート費用・内容』
- ・取得までの『スケジュール』
- ・コンサル会社を選ぶ際の『ポイント』
- ・認証パートナーと『他社との違い』
- ・お客様のお声
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.