▼ 目次
1. はじめに
1.1. 記事の目的と想定読者
本記事では、**ISMS(ISO/IEC 27001)**の認証を取得するために「どんな書類が必要か?」を明らかにし、具体的なリストと作成のコツを紹介します。
対象読者:
これからISMS認証取得に取り組む企業の担当者
“ISMSに必要な文書って何があるの?”と疑問に思っている初心者の方
既にISMS運用中だが、どこまで書類を整備すべきか改めて見直したい方
このブログを読むメリット:
必須文書と推奨文書がわかり、認証審査で苦労せずに済む
プロのコンサル視点での実務アドバイスや事例が得られる
“形だけ”でなく、本当に使える文書を揃えるヒントをつかめる
1.2. ISMS認証において「必要書類」の整理がなぜ重要か
ISMSは、「書類と現場運用」がセットになってこそ成り立ちます。必要な文書が整っていないと、外部監査で不適合を多く指摘されるだけでなく、実際のセキュリティ対策が曖昧になる可能性が高いです。
コンサル経験談: 書類を適切に準備しておけば、社員全員が同じ基準で動けるようになるため、ミスや漏えい事故のリスクが減り、監査対応もスムーズに進みます。
2. ISMS必要書類の全体像を把握しよう
2.1. 文書化した情報セキュリティマネジメントシステム(ISMS)とは?
ISMSは、情報資産を守るために組織が管理策を決め、運用し、継続的に改善していく仕組みです。
文書がないと「どのリスクにどんな対策をとっているか」「社員は何を守るべきか」が曖昧になりがち
メリット: 文書化すると、全社に周知しやすく、次年度の改善にも活用できます
2.2. 規格(ISO/IEC 27001)が求める文書・記録の基本概念
文書: 政策・計画・手順書など、組織のルールや進め方が書いてあるもの
記録: 点検や監査結果、会議の議事録など、実際に行った証拠
注意: ISMSでは必要最低限の文書だけでなく、“自社ならではのリスク対策”を反映させた独自の規程をまとめることが重要
2.3. 初心者が把握するべき“必須文書”と“推奨文書”の違い
必須文書: 規格上、「これがないと審査で不適合」となるもの(例: セキュリティポリシー、リスク評価手順、内部監査報告書など)
推奨文書: 必須ではないが、運用上あると便利なもの(例: セキュリティ委員会議事録、外部委託管理リストなど)
コンサルの視点: 必須文書だけでも取得は可能ですが、運用をスムーズにするために推奨文書も整備すると後々楽になります。
3. 【必須文書リスト1】ISMS基盤を作る基本文書
3.1. 情報セキュリティ基本方針(セキュリティポリシー)
内容: 組織がどんな目的で情報セキュリティを守るか、どのレベルまで守りたいかなどをまとめる上位文書
ポイント: 経営者が署名し、全社員が共有できる形にする
実務例: ポリシーの冒頭に「当社は顧客情報を最優先に保護し…」などの宣言を入れ、後続規程の土台にする
3.2. 運用規程・手順書(アクセス制御、パスワード管理など)
例:
アクセス制御規程:誰がどのシステムにアクセスできるか
パスワード管理規程:長さや変更頻度、使い回し禁止など
持ち出しメディア規程:USB使用ルール、在宅ワーク端末ルールなど
コンサル経験談: ここが曖昧だと社員ごとにやり方が違い、監査で指摘を受けやすい
3.3. リスクアセスメント手順書・リスク対応策の計画書
手順書: リスクをどのように洗い出し、どのくらいの影響度で評価するか
計画書: リスク対応(排除、軽減、受容など)をどの部署がいつ実施するか
重要: ISMSで最も核となる文書群。審査員は「リスクが本当に管理されているか?」を重点チェックする
3.4. 事業継続計画(BCP)やインシデント対応手順
BCP: 大規模災害やサイバー攻撃などでシステムがダウンしたときの復旧手順、役割分担
インシデント対応: トラブルが起きた際に、どこに連絡し、どう調査し、再発防止まで行うかの流れ
メリット: “いざ”という時に混乱を最小限にでき、審査でも評価が高い
3.5. 作成ポイント:テンプレート活用と経営者の承認プロセス
テンプレ: 多くのコンサル企業や認証機関が提供しているサンプル文書をベースに、自社の業務特性を加筆
承認: すべての基本文書には経営者または最高責任者のサイン(署名)をもらい、トップの意思を明確にする
4. 【必須文書リスト2】マネジメントプロセスに必要な文書・記録
4.1. 内部監査計画・監査報告書・不適合是正記録
内部監査計画: どの部署をいつ監査するか、誰が監査員になるかを明文化
監査報告書: 監査結果と指摘事項、不適合や観察事項をまとめた文書
不適合是正記録: 指摘された不適合をどう改善し、再発防止するかの記録
4.2. マネジメントレビュー議事録・決定事項のフォローアップ表
マネジメントレビュー: 経営者がISMS運用を見直す会議 → そこで決まったことを残す議事録が必須
フォローアップ表: 決定した改善策がちゃんと実施されたかチェックする表
4.3. 教育訓練計画・実施記録(受講リスト・試験結果など)
教育計画: 年間何回やるか、新入社員向け・既存社員向けのテーマなどを事前にまとめる
実施記録: 受講者名、日付、内容、理解度テストなど → 外部監査時に「本当にやった?」と確認される
4.4. 作成ポイント:誰がいつ記録し、どこで保管するかを明確に
事例: 監査チームが監査報告書を作成→事務局が共有フォルダに保管し、全社員が閲覧可能に
コンサル所感: 記録を探し回るケースが多いため、文書体系図や保管フォルダ構成を決めておくと効率アップ
5. 【推奨文書】補完的に整えておきたい実務文書
5.1. セキュリティ運用委員会の議事録・月次報告書
委員会: 部署代表が集まり、運用状況を定期チェック
議事録: “小さなインシデント”や改善アイデアを共有 → 後で振り返り可能
メリット: 全社のセキュリティレベルを継続的に高められる
5.2. 外部委託先管理台帳(契約書、NDA、SLAなど)
台帳: どの外注先にどんな業務を委託しているか、契約更新時期やセキュリティ要件など
必要性: 外部漏えいリスクが増える昨今、委託先管理は監査でも注目される項目
5.3. 設備・システム管理リスト(更新履歴、メンテ記録など)
例: サーバー・PC・ネットワーク機器の購入日、OSバージョン、保守契約情報
監査視点: 老朽化して脆弱性が残っていないか?アップデートの管理状況は?
5.4. 改善提案書・インシデント未満(ヒヤリハット)記録
ヒヤリハット: 実害は出なかったが、誤送信しそうになった等の事象
運用: これを記録し、早期に是正策を打てば、大きな事故を未然に防ぐ
5.5. メリット:文書が充実するほど認証取得後の運用が楽になる
コンサル経験: 認証後もサーベイランス審査が毎年あるため、こうした推奨文書を準備しておくと監査時に困らず、実態との整合性が高まる
6. 文書作成の基本ルール:形式・バージョン管理・アクセス権の設定
6.1. 文書の版数管理(リビジョン)と改定履歴の書き方
形式: 例)Ver1.0 → Ver1.1 → Ver2.0 など。変更の内容や日付、担当者をリビジョン履歴に記録
理由: どの版が最新か混乱しないようにする
6.2. 公開・配布方法:全社員向け、限定部署向けの範囲設定
例: セキュリティポリシーは社外に公開してもいいが、詳細規程は部内限定など
コンサル視点: 重要な規程を全部社外に出すと逆に危険なので、アクセスコントロールを厳格に
6.3. アクセス権限と保管場所(クラウド、社内サーバなど)
注意: 文書をクラウドに置く場合でも、権限管理やログ取得を忘れずに
メリット: 共有フォルダやコラボレーションツールで管理すると、更新履歴や共同編集が容易
6.4. コンサル経験談:紙ベースと電子データが混在すると混乱しやすい
例: 一部はファイルサーバ、一部は紙のキャビネット → どれが最新版か判別不明
解決: 可能な範囲で電子化し、紙は正式控えやサイン入り版のみに限定する
7. 実務に役立つテンプレートやツールの活用
7.1. 文書テンプレート:ポリシー、規程類、リスク評価表などサンプル活用
典型: ISO27001認証支援コンサルや認証機関がサンプルを公開している場合あり
アドバイス: 自社のリスクや業務フローに合わせて修正し、丸写しはNG(審査で実態に合わないと指摘される)
7.2. タスク管理ツール(Trello/Asana)で文書作成の進捗管理
手法: 「文書作成」「レビュー」「最終承認」といったプロセスをカード化し、担当者と期限を明確化
メリット: 見える化されるため、書類整備の抜けや遅れが分かりやすい
7.3. バージョン管理システム(Git/LMS)の導入メリット
開発部門: プログラマがよく使うGitなどで文書を管理すると、変更履歴や差分が簡単に追える
中小企業: そこまで大掛かりにはせず、シンプルなクラウドストレージでバージョン履歴を使うケースも多い
7.4. コンサルタントを活用した“一括支援”で負担を軽減する方法
実例: 書類整備から内部監査準備まで、外部コンサルがまとめてサポート→社内担当者の時間を大幅削減
効果: 専門家のノウハウを活かし、短期間で文書類を整え、認証審査での不適合リスクが減る
8. 他社事例:ISMS 必要書類を短期整備し、認証取得に成功したストーリー
8.1. 小規模IT企業A社:テンプレ+外部サポートで3か月で文書化完了
背景: 社員15名、取引先からISMSを求められる
進め方: コンサルのテンプレをベースに、2週間でドラフト作成 → 1か月かけて各部署ヒアリング→修正
結果: ステージ1審査でもほとんど修正指摘がなく、3か月後にはステージ2も合格
8.2. 製造業B社:既存ISO9001と連携し、効率的に書類を統合
事例: すでにISO9001(品質マネジメント)で文書管理や内部監査フローが確立
成果: ISMSで追加するのはセキュリティ規程やリスク評価表ぐらい → 半年程度で認証取得に成功
コンサル談: 既存ISOと一緒に運用する「統合マネジメントシステム」で重複を削減
8.3. 大手企業C社:拠点ごとにドキュメント担当を置き、全社共有フォルダで管理
背景: 複数工場・営業所が全国に点在
方法: 各拠点が必要書類を作成し、中央の事務局が取りまとめ→ 最終承認を経営層が行う
メリット: 現場の実態が反映された運用規程になり、外部監査で高評価
9. よくある失敗例:必要書類が揃わず認証審査で苦戦したケース
9.1. 現場が書類作成を後回しにし、外部監査直前に慌てる状況
失敗: 「直前まで優先度が低かった…」「他の業務が忙しくて」
教訓: 少しずつ進める段階的アプローチ、またはコンサル支援で早期に整備が基本
9.2. 文書は作ったものの運用とズレがあり、不適合を大量指摘された
事例: 実務ではUSB持ち出し禁止していないのに、規程には「禁止」と書いてある…
対策: 内部監査を活用し、文書と運用が矛盾していないかを適宜チェック
9.3. 対策:進捗管理、内部監査の徹底で“書類と実運用の乖離”を防ぐ
アドバイス: 四半期に一度は文書の再確認や運用テストを行い、必要なら改定
10. 作成ポイントのまとめ:スムーズに認証取得するための5つのヒント
10.1. (1) 経営者の承認を早めに取り、方針文書を最初に固める
理由: 全ての下位規程はトップの方針に基づく → ここが曖昧だと後の作業がやり直しになる
10.2. (2) リスクアセスメント表や運用規程を“シンプル”に作成
コンサル経験: 最初から何十ページも作ると社員が読まない → 初年度は必要最低限に絞り、改善を重ねる方が成功率高い
10.3. (3) 内部監査でドキュメントと実務が合っているか頻繁にチェック
メソッド: 月次や四半期ごとにミニ監査を行い、ささいな矛盾も修正する
10.4. (4) 社員教育と合わせて文書の存在意義を周知
効果: “なぜこの規程があるのか”を理解してもらう→書類が机上の空論にならない
10.5. (5) 外部コンサル(ISOトラスト等)による書類整備支援で負担を軽減
ポイント: 書類テンプレ&ノウハウを活用し、短期でステージ1~2審査を乗り切る例が多数 → 内部リソースが少ない企業に特に有効
11. 専門用語解説:ISMS文書作成に関連するキーワード
11.1. 情報セキュリティ基本方針と下位規程(運用規程)
基本方針: 組織としての大きな目標や方針
下位規程: パスワード管理規程や物理セキュリティ規程など、具体的ルールを定める
11.2. 不適合・観察事項・是正措置など監査関連用語
不適合: 規格上の要求や自社規程と実務が合っていない
観察事項: 今は問題ではないが将来不適合になる恐れがある箇所
是正措置: 不適合を発見後、再発防止まで含めた対応を取る
11.3. NDA(秘密保持契約)、SLA(サービスレベル合意)など外部委託文書
NDA: 外部業者や提携先に渡す情報を守る契約
SLA: サービス提供範囲や品質を定義し、万一の対応を明記する契約
11.4. PDCAサイクル(Plan-Do-Check-Act)再確認
Plan: 方針策定、リスク評価、書類整備
Do: 実際の運用
Check: 内部監査やレビューで点検
Act: 改善策を次の計画に取り込む
12. Q&A:ISMS 必要書類に関する疑問
12.1. 「必須文書は絶対作らないとダメ?推奨文書との境目は?」
回答: 主要規程やリスクアセスメント手順書は必須。推奨文書(例: 運用委員会議事録など)はなくても認証取得可能だが、運用を楽にするために整備をおすすめ
12.2. 「文書を紙で管理していても大丈夫?」
解説: 可能だが、更新や版数管理が手間になる → 電子化を検討すると監査対応が楽。セキュリティ上、鍵付きキャビネット+閲覧履歴管理も必要
12.3. 「言葉づかいやフォーマットはどう決めればいい?」
アドバイス: ISO27001上、特定の文体やフォーマット指定はない。ただし社員が読めるレベルの専門用語に抑え、統一感あるフォーマットを選ぶ
12.4. 「取得後も書類を増やす必要ある?継続運用での書類更新は?」
回答: 新たなリスクや法令改正、組織変更に応じて文書をアップデートするのが理想。年1回のサーベイランス審査や内部監査で要変更点が出る可能性が高い
13. まとめ:ISMS認証取得に必須の文書を効率的にそろえよう
13.1. 記事の総括:必須文書・推奨文書リストと作成ポイントの要点
必須文書: セキュリティポリシー、リスクアセスメント関連、内部監査・レビュー関連文書など
推奨文書: 運用委員会議事録、外部委託台帳、ヒヤリハット記録など
作成ポイント: シンプル・実務重視、版数管理の徹底、社員への周知
13.2. 面倒だと思わず、リスク管理・業務効率化のチャンスに
考え方: 文書を作る過程で業務フローやリスクを整理→ 組織全体の改善につながる
コンサル視点: “セキュリティ対策”だけではなく、コスト削減や社員意識向上という副次効果も期待
13.3. 短期取得や負担軽減を目指すならコンサル活用も視野に
実例: ISOトラストなどの外部サポートを使えば、テンプレやプロのノウハウを活かし、社内の工数を大幅に減らしながら短期取得に成功したケースが多い
結論: 必要書類をしっかり整えれば、審査での不適合リスクを減らせ、運用後も業務が安定する
おわりに
ISMS認証に必須の書類は、企業の情報セキュリティを支える骨格そのものです。整備するのは手間と感じるかもしれませんが、このプロセスを経ることでリスクが明確になり、組織全体の業務効率化や事故防止に大きく貢献してくれます。
まずは基本文書(セキュリティ方針、リスクアセスメント手順、内部監査関連など)から着手し、必要に応じて推奨文書を追加
文書の存在意義を社員に共有し、形骸化を防ぐ
もし社内リソースが足りないなら、ISOトラストのようなプロのコンサルを活用して短期取得や負担軽減を図ることも検討すると良いでしょう。
ぜひこの記事をヒントに、ISMS必要書類の整理を進め、スムーズな認証取得と継続的なセキュリティ強化を両立してください。今後の情報リスクに備え、企業価値を高める絶好の機会となるはずです。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている。
댓글