４．３．１　文書化一般

　会社は、次のものを文書にして下さい。

　　ａ）情報セキュリティポリシー(4.2.1b項)と管理目的
　　ｂ）ISMSの適用範囲(4.2.1a項)
　　ｃ）ISMSに関する手順や管理策(4.2.1g項)
　　ｄ）リスクアセスメントのやり方を決めた手順書(4.2.1c項)
　　ｅ）リスクアセスメントの結果(4.2.1c、d、e、f、g項)
　　ｆ）リスク対応計画(4.2.2a項)
　　ｇ）自社のISMSがちゃんと効き目がある様にするために、会社が必要だと判断した手順書
　　ｈ）ISO27001に取っておくように求められている記録
　　ｉ）適用宣言書(4.2.1h項)


　注１：ｃ)などの”手順書”とは、何かの行い方を決めて書いてある文書です。手順書は、やり方
　　がちゃんと決められていて、分かるように書いてあって、その通り行われて、必要があったら
　　改められる必要があります。

　注２：ｃ)などの手順を文書化しておく必要のある範囲は、会社によって変わりますからよその
　　会社のISMS文書を写させてもらっても、自社では適切でない可能性が高いでしょう。
　　　−会社の規模や事業内容が違います
　　　−ISMSの適用範囲やセキュリティに必要な事柄、管理している情報システムが違います

　注３：文書や記録の様式は何でも結構です。また、紙に書いてあっても電子的なものでもよい
　　です。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則