【PR】ISMSのマニュアルは業種ごとに適した内容にするのが審査通過の鍵
ISMSの認証を取得するためには、ISMSマニュアル(文書)を作成しなければなりません。ここでは、ISMSマニュアルとはどのような内容のものなのか、きちんと取得するためにはどうすべきかを解説します。
ISMS(ISO27001)取得に必要な
マニュアル(文書)とは
ISMSの認証を取得するためには、一般的に以下のマニュアル(文書)を作成する必要があります。任意のものも含まれますが、これらを作成しルールや手順を明確にすることで、情報セキュリティリスクの低減に繋がります。
- 情報セキュリティ基本方針
- ISMSマニュアル
- 適用宣言書
- 管理規程関連
- 管理手順書関連
- 記録/様式
ISMSマニュアルの
構成・記入例
ISMSのマニュアルを作成する際には、規格を満たしているかどうかの基準となる要求事項を満たす必要があります。具体的には、以下の事項がマニュアルで網羅されている必要があり、きちんと実行することが重要です。
0項 | 序文 | - |
---|---|---|
1項 | 適用範囲 | ISMS認証の「適用する事業」「適用する事業所、その所在地」「ネットワーク」「適用除外とする部署」「管理体制」を明確にしたもの |
2項 | 引用規格 | 引用する規格を明記 (例)JISQ27000:2019/ISO27000:2018 「情報技術-セキュリティ技術-情報セキュリティマネジメン トシステム-用語」 |
3項 | 用語及び定義 | マニュアル内で使用する用語を説明したもの |
4項 | 組織の状況 | ISMSを通してどのような成果を得たいのか、それに影響する組織の状況を明記したもの |
5項 | リーダーシップ | トップマネジメントが情報セキュリティにおいてどのようにコミットメントするのか、責任や権限、方針を明記したもの |
6項 | 計画 | マネジメントシステムを構成して運用するための計画を定めたもの |
7項 | 支援 | 情報セキュリティマネジメントシステムの運用をするために必要な「資源」「力量」「認識」「コミュニケーション」「文書化した情報」を定義したもの |
8項 | 運用 | ISMSの運用や管理について定めたもの |
9項 | パフォーマンス評価 | ISMSの導入・運用が計画通りに行われているかを確認するための手順や監査時期等を定めたもの |
10項 | 改善 | ISMSを運用していくなかで発見された問題にどのように対処・改善していくのかを定めたもの |
スムーズな取得・運用のためには
自社の業務に適した
マニュアル作成が必要
ISMSマニュアルは組織に応じた情報セキュリティリスクに対し、どのようにPDCAサイクルを回して改善していくかを定めたものです。そのため、従業員にとって分かりづらい内容になっていたり、形式的な文書で普段の業務に合っていない内容だったりすると、マニュアル通りに実行できずISMSの取得や運用は難しくなります。
マニュアルを作成する際のポイントは、業務の実情に即した具体的な内容にすることです。従業員が「何をしなければならないのか」「何をするといけないのか」をきちんと理解し、間違いなく実行できるように工夫しましょう。
マニュアル作成における
取得代行会社の利用
ISMS認証を自社で取得しようと思うと時間や人的リソースがかってしまうため、取得代行会社に依頼するのがおすすめです。ISMSマニュアルの作成も行ってもらえます。
しかし、取得代行会社は企業の業務内容にかかわらずテンプレを流用してマニュアルを作成している場合もあります。その場合はISMS認証の取得はできても、運用が難しくなるので注意が必要です。
そのため、しっかりと実際の業務に合うマニュアルを作成してもらうことが大切です。
対応してくれる会社がおすすめ

(https://activation-service.jp/iso/lp/)
実際の業務内容に沿ったISO運用をするなら、自社のISO事務局員としてサポートしてくれる「ISOプロ」を利用するのがおすすめ。
会社の実情に合わせたマニュアル作成のため、対応回数の制限を設けていないことがISOプロの大きな特徴。「事業が成長するISO」の構築を目指しています。
基本的なことはすべてISOプロが行ってくれるため、自社で対応すべきことは「確認」「通常業務」「日程調整」「要所の対応」のみ。本業に集中できるようサポートしてもらえます。
また、ISOプロにはISO審査員資格保持者や各業界での経験が豊富なコンサルタントが多く在籍しており、幅広い業種に対応可能です。
ISOプロは、NSSスマートコンサルティングが提供。社名の通りコンサルティング業務に強みを持ち、雇用・資金調達・認証取得などの企業運営や企業価値を高めるためのサポートをしています。
ISOプロでの取得事例
実際にISOプロがどのようにお客様企業のISMSを構築しているのか、具体的な事例を紹介します。
ISMSの取得で
受注が増加した事例
課題点
- 情報セキュリティ管理体制の未整備
- 大手との取引時に機会損失があった
- 自社でのISMS認証取得のリソース割けない
改善後
- ISOプロの全面的にサポートでISMSを取得
- セキュリティチェックシートの体制が整い受注数が増加
経緯・解決策
大手企業からの引き合いが増えてきて、セキュリティチェックシートなどで情報セキュリティ管理体制を確認されることが多くなったため、ISMSを取得したいというお問い合わせ。
対応できていない項目があり、認証もないことから、検討の土俵にも乗れないことが増え、機会損失を防ぐために取得を決意したそう。
従業員数が少ない会社だったため、一部の部署だけではなく全社での取得を進めることになりました。自社でのISMS認証取得のためのリソースは多く割けなかったため、ISOプロが全面的にサポート。
要求事項や外部要求に則ってセキュリティ体制を整えたことから、セキュリティチェックシートも難なく答えられるようになり、受注数が増加。現在は従業員も当時の倍になっています。
認証範囲を限定して
取得した事例
課題点
- 入札に必要なISOの未取得
- 全社に適用できない可能性があった
改善後
- 関係部署のみで取得・運用開始
- 部門認証取得後に全社でも取得
経緯・解決策
入札のためにISOの取得が必要なものの、全社対応できるかが不安という相談。
確認したところ部門認証でも入札が可能なことが判明。全社ではなく関係部署のみのマニュアルを策定し、運用を開始しました。
部門での認証取得後に全社的に取り組んでいきたいと要望があり、現在は拡大審査にも通過し認証を維持しています。
業務の実情に沿って
再構築した事例
課題点
- ISO取得のためだけのルールがあった
- 情報セキュリティ体制が全社に浸透しておらず形骸化していた
改善後
- 実業務に合ったマニュアルに再構築
- 従業員が実行しやすくなり、形骸化が解消された
- ISO教育や内部監査研修を受け、内製化に成功
経緯・解決策
すでに認証を取得済みで、自社で運用をしている会社からのお問い合わせ。ISOのスリム化、形骸化してしまったISOをしっかりと浸透させていきたいと要望がありました。
作成済みのマニュアルはISO取得のために作られたルールなどがあったため、実際の業務に合わせた形で再構築し、余計な部分を削りました。
また、実務に沿った内容にしたことで従業員も実行しやすくなり、形骸化の解消にも繋がりました。
その後、内製化したいとの要望があり、マネジメント層と従業員へのISO教育や内部監査の研修を実施。目標としていた3年後の更新審査のタイミングで無事独り立ちに成功しています。
ISOプロを提供する
NSSスマートコンサルティングは
こんな会社

(https://nss-smart-consulting.co.jp/)
NSSスマートコンサルティングは、日本中小企業の課題解決のためのソリューションサービスを提供するNSSホールディングスのグループ会社です。コンサルティング業務を担っており、ISO認証だけでなく、採用などのコンサルティングも行っています。
ISO認証コンサルティング事業においては、「企業の実情に合った無理をしないISO構築・運用」をモットーにISOプロを提供しています。ISO審査員資格保持者やさまざまな業界での経験が豊富なコンサルタントが多数在籍しており、回数無制限で相談できることが特徴です。
情報通信業をはじめ、金融業や製造業、卸売・小売業など、幅広い業界においてISOの取得サポートを行ってきました。その他さまざまな業界にも対応が可能です。
社名 | NSSスマートコンサルティング株式会社 |
---|---|
所在地 | 東京都新宿区西新宿6-8-1 住友不動産新宿オークタワー21階 |
電話番号 | 03-4233-2946(代表) |
公式HP | https://nss-smart-consulting.co.jp/ |