ISOの文書は最小限で(その1)
文書化を否定?してきましたが、全く必要がないということではありません。
規格でも文書化を求めている項目があります。今回はISO/IEC27001:2022を例に説明します。
ご存じの方も多いと思いますが、この規格はISO9001やISO14001等と共通のテンプレートで作成された規格本文と情報セキュリティリスクアセスメントの結果、そのリスクを管理するための管理策で構成されています。規格を読んでいただき、“文書化した情報”という記載がある項目は規格が文書化を要求しており、認証の取り組む組織も何らかの文書が必要となります。おおよそ、以下の通りです。
・ISMSを適用する範囲
・情報セキュリティに関する方針
・リスクアセスメントのプロセス
・リスクアセスメントの結果
・リスク対応計画
・リスク対応の結果
・適用宣言書
・情報セキュリティ目的(目標)及びそれを達成するための計画
・関連する要員の力量の証拠
・ISMSを監視、測定、分析及び評価した結果
・内部監査プログラムや監査結果
・マネジメントレビューの結果
・不適合の性質、講じた処置、是正処置の結果
13項目ありますが、実際には一つの文書や書式で複数を網羅することが多いので、もっと少なくなります。
さらに上記は大半がISMSを運用しているエビデンスであり、いわゆるマニュアル、規程や手順書を作成しろという要求はほとんどなく、規格は“自身が必要と考えるものを分取化しなさい”と言っているにすぎません。マニュアル、規程や手順書なしで運用できるのなら、それでよいのです。
ISOとはマニュアル、規程や手順書を作成して、その通りに運用するというのは
遥か昔、ISO9001の1994年版の名残り、悪しき慣習です。
