| 項目 | 内容 |
|---|
| 改訂日 | 2026.03.04 |
| 適用範囲 | 全社 |
| 箇条番号 | 7.5 |
| 分類 | 支援 |
組織のISMSは、次の事項を含まなければならない。
- a) この規格が要求する文書化した情報
- b) ISMSの有効性のために必要であると組織が決定した、文書化した情報
当社のISMSは、以下の文書化した情報を含んでいる。
当社のISMS文書は、以下の3つの主要文書で構成される。
| 文書名 | 内容 | 対応ディレクトリ |
|---|
| ISMSマニュアル | JIS Q 27001:2025の箇条4~10に対応する要求事項への対応方針を記述 | clauses/ |
| 運用規定 | ISMSマニュアルの方針に基づく具体的な運用ルール・手順を記述 | policies/ |
| 適用宣言書 | ISO/IEC 27001:2022 附属書Aの93管理策の適用・非適用と実施状況を記述 | annexa/ |
※ 運用規定は、組織内で「情報セキュリティマネジメントシステム(ISMS)文書集」とも称される場合がある。
文書化した情報を作成及び更新する際、組織は、次の事項を確実にしなければならない。
- a) 適切な識別及び記述(例えば、タイトル、日付、作成者、参照番号)
- b) 適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)
- c) 適切性及び妥当性に関する、適切なレビュー及び承認
当社の文書化した情報は、以下の識別情報を含んでいる。
| 識別項目 | 内容 |
|---|
| タイトル | 文書の内容を示す明確なタイトル |
| 版(バージョン) | 文書のバージョン番号 |
| 作成者 | 文書の作成責任者(情報セキュリティ委員会等) |
| 発行日 | 文書の発行日または改訂日 |
| 適用範囲 | 文書が適用される範囲 |
| 項目 | 当社の対応 |
|---|
| 言語 | 日本語 |
| 形式 | Markdown形式(ISMS文書管理システム)、PDF(印刷用) |
| 媒体 | 電子媒体(ISMS文書管理システム、Google Drive) |
文書化した情報のレビュー及び承認は、以下のプロセスで実施している。
| 文書種別 | レビュー者 | 承認者 |
|---|
| ISMSマニュアル | 情報セキュリティ委員会 | 代表取締役 |
| 運用規定 | 情報セキュリティ委員会 | 情報セキュリティ責任者 |
| 適用宣言書 | 情報セキュリティ委員会 | 情報セキュリティ責任者 |
| 記録・帳票 | 作成者 | 管理責任者 |
ISMS及びこの規格で要求されている文書化した情報は、次の事項を確実にするために、管理しなければならない。
- a) 文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態である。
- b) 文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用又は完全性の喪失からの保護)。
文書化した情報の管理に当たって、組織は、該当する場合には、必ず、次の行動に取り組まなければならない。
- c) 配付、アクセス、検索及び利用
- d) 読みやすさが保たれることを含む、保管及び保存
- e) 変更の管理(例えば、版の管理)
- f) 保持及び廃棄
ISMSの計画策定及び運用のために組織が必要と決定した外部からの文書化した情報は、必要に応じて識別し、管理しなければならない。
当社のISMS文書は、以下の相互関係に基づき管理されている。
| 文書 | 役割 | 他文書との関係 |
|---|
| ISMSマニュアル | 規格要求事項(箇条4~10)への対応方針を記述 | 運用規定・適用宣言書の上位文書 |
| 運用規定 | ISMSマニュアルの方針に基づく具体的な運用ルール・手順を記述 | ISMSマニュアルの方針を具体化 |
| 適用宣言書 | 附属書A管理策の適用・非適用と実施状況を記述 | 各管理策の実施手順は運用規定を参照 |
| 文書種別 | 保管場所 | アクセス方法 |
|---|
| ISMSマニュアル | ISMS文書管理システム | Webブラウザ(社内ネットワーク) |
| 運用規定 | ISMS文書管理システム | Webブラウザ(社内ネットワーク) |
| 適用宣言書 | ISMS文書管理システム | Webブラウザ(社内ネットワーク) |
| 記録・帳票 | Google Drive | Google Workspace認証 |
| 外部文書(ISO規格等) | ISMS文書管理システム(参照) | Webブラウザ |
| 保護対策 | 実施内容 |
|---|
| 機密性 | アクセス制御(Google Workspace認証、IAP) |
| 完全性 | Git版管理、変更履歴の記録 |
| 可用性 | クラウドサービスの冗長性、バックアップ |
| 項目 | 実施内容 |
|---|
| 配付 | ISMS文書管理システムでの公開、Slackでの周知 |
| アクセス | 従業員はGoogle Workspace認証でアクセス可能 |
| 検索 | ISMS文書管理システムの検索機能 |
| 利用 | Webブラウザでの閲覧、PDF出力 |
| 項目 | 実施内容 |
|---|
| 保管場所 | ISMS文書管理システム(Cloud Run)、Google Drive |
| 保存期間 | 規程類:永年、記録類:5年以上 |
| 読みやすさ | Markdown形式、PDF形式で可読性を確保 |
| 項目 | 実施内容 |
|---|
| 版管理 | Git(GitHub)による版管理 |
| 変更履歴 | コミット履歴、文書内のバージョン情報 |
| 変更承認 | プルリクエストによるレビュー・承認 |
| 項目 | 実施内容 |
|---|
| 保持 | 最新版をISMS文書管理システムで公開、旧版はGit履歴で保持 |
| 廃棄 | 不要となった文書は適切な手順で削除(Git履歴は保持) |
外部からの文書化した情報(ISO規格、法令等)は、以下のとおり管理している。
| 外部文書 | 管理方法 |
|---|
| ISO/IEC 27001:2022 | 参考資料としてISMS文書管理システムに概要を掲載 |
| 関連法令 | 法改正時に情報セキュリティ委員会で確認、規程への反映 |
| 顧客要求事項 | 契約書・仕様書として保管 |
| 証跡 | 内容 | 保管場所 |
|---|
| 文書一覧 | ISMS文書の一覧 | ISMS文書管理システム |
| 変更履歴 | 文書の変更履歴 | GitHub |
| 承認記録 | プルリクエストの承認記録 | GitHub |
| アクセスログ | 文書へのアクセス記録 | Cloud Run、Google Workspace |