ISO≠文書化
情報セキュリティ管理策でも文書化を推奨しているものがあります。
・資産目録
・資産の取り扱い手順
・関連する法規制を満たす取り組み
・情報処理設備の操作手順
・雇用契約書(情報セキュリティに関する責任)
・秘密保持、守秘義務の誓約
・セキュリティ構成、IT構成
・ログ
8項目ありますが、前回のコラムに書いたもので網羅できるものもあります。
前回書いたものと単純に合計すると21項目になりますが、文書の残し方や書式を工夫することにより、数を減らすことはできます。
また、昨今ではグループウェアやワークフロー、チャット系のコミュニケーションツールが充実しているので、これらをうまく使えば何でもかんでも紙に書く必要はなくなります。
さらに“規格が求めている”だけでなく、“リスクアセスメントの結果”“不測の事態が発生した場合の想定(原因追及や再発防止)”次第で残すべき文書や記録が変わるということです。
認証登録証がほしいだけの組織は別として、ISMSを有効に活用したいという組織はこのようなことを含めて、ISMSを構築していただきたいと考えています。
