• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈

_shared_img_thumb_PAK86_kisyanoshitumonnikotaeru20140713_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所コンサルタントの戸沼です。

今回のブログでは、「ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈」について書かせていただきます。

内容としては、大きく下記の3つの項目をご説明させていただきます。

1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比
2.ISO27001(ISMS):2013年版で明確にされたこと
3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比

まずは、ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比からみていきましょう。
ISO27001(ISMS):2006年版における構成は下記の通りです。

4.3 文書化に関する要求事項
4.3.1 一般
4.3.2 文書管理
4.3.3 記録の管理

ISO27001(ISMS):2013年版における構成は下記の通りです。

7.5 文書化した情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化した情報の管理

上記のように章の構成は変わっています。

2006年版では「文書」と「記録」という2つの要素を管理すべきと述べられているのに対して、2013年版では「文書化した情報」という1つの要素にまとめられていることが分かります。

このような変更がなされた背景には、社会のIT化があります。ひと昔前では「文書・記録=紙媒体」でしたが、現代においては「文書・記録=デジタル媒体」であるところも少なくありません。

例えば、ある運送会社様では、荷物の積み下ろしの際の手順書は注釈を入れた動画になっていました。同時に、荷物の積み下ろしがルール通りにできているかのチェックも動画とiPadによるチェックリストをもとに行われていました。

このように、現代では紙媒体のみならず、デジタル媒体(WordやExcelデータ、動画データ、音声データ)も文書化された手順にも記録にもなりえますし、生体認証(指紋、声紋、虹彩、静脈等)による認識履歴も記録になりえますので、これまでの「文書」と「記録」という表現が見直されてきました。

ISO27001(ISMS):2013年版の規格要求事項を読み進めていくと、ISO27001(ISMS):2006年版において「文書」とされていた事項と同一の取扱いが求められるのが、「文書化した情報として利用可能である」「~プロセスについての文書化した情報を保持」といった表記になっている箇所となります。

同様に、ISO27001(ISMS):2006年版において「記録」とされていた事項と同一の取扱いが求められるのが、「~の証拠として、文書化した情報を保持する」といった表記になっている箇所となります。

媒体や手段の違いはあれど、大きな要素としては変わっていないことが分かります。

2.ISO27001(ISMS):2013年版で明確にされたこと

次に、ISO27001(ISMS):2013年版で明確にされたことをみていきましょう。
ISO27001(ISMS):2006年版にはない表現として、下記のような記述があります。

・「適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号)」
・「適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)」
・「配付,アクセス,検索及び利用」

一見して分かることは、2013年版では、文書化した情報の管理として、デジタル管理も想定された規格要求が明確化されました。

お客様訪問時に、障壁に感じていらっしゃるとよく伺うのは、デジタルデータの管理方法が部ごと、個人ごと、保管ツールごとに異なり、社内の標準的なルールが定まっていないということです。
この点に関しては、今後ますますデジタルデータが増えていくことを見据えて、最適解を社内で一度協議してみるのがよさそうです。

3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

最後に、ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきことを考えていきます。

私たちコンサルタントは、様々な業種・業態の組織様のお手伝いをさせていただく中で、役得と言いますか、様々な形・手段の「文書化した情報の管理」を拝見させていただいております。

その中で感じることは、デジタルデータの情報管理に関しては、紙媒体の情報管理と比較して、まだまだ改善の余地がある組織様が多いということです。

うまく取り決めていらっしゃる組織様ですと、データフォルダの管理に関して、部ごと、組織を横断するグループごと(取締役会、委員会活動等)にデータフォルダを設けて、その中でも「極秘・上・中・下」のようなアクセス制限設定がなされているようです。

データ管理に関しても、タイトル名を「(部署名)+(現場・顧客名)+(案件名)+(日付)」といった共通の仕様を決め、それに基づいたデータ管理をしているようです。

上記のような点にフォーカスをあてて、貴社の情報セキュリティマネジメントシステムにおける文書化した情報の管理が整っているか、見てみてはいかがでしょうか。

カテゴリー:ISOコラム タグ:27001 ISO コンサルタント 規格改訂 規格解釈

ISO総研

関連記事

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ