規格書4.3.1以降はISMSを文書化するにあたっての規格要求事項になっている。
ISMS基本方針に始まって、自分たちがISMSを取得する上で必要になってくるさまざまな文書のリストや、
それらを管理するにはどのようなことに気をつけなければならないのかが書かれている。
ISMSを文書化するのに、よくいわれるのが「文書の階層化」だ。
センターで採った方法もこれにあたるので、私はよくよく考えもせずに受け入れていたけれど、規格書には特に「文書の階層化」という言葉は出てこない。
なので、こういうやり方が一般的なのだ、という位のつもりで紹介したいと思う。
ISMSを文書にまとめる際には、上位文書と下位文書とに分けることを念頭に置く。
上位文書とは、より大きな概念(基本方針)や、マニュアル(自分たちで作る自分たちのためのISMSマニュアル)など、大まかに全体像を示す文書のこと。これに対し、下位文書とは、その上位文書では説明しきれなかったより細かなことを説明するために作成するもので、
上位文書のさまざまな箇所から、「これについては(下位文書の)〜手順書を参照すること」などという注釈をもって誘導先とされる文書。
一度にたくさんのことを全部説明する文書ではなく、大まかなことを先に文書化しておいて、そこで足りなかったことは別立て文書にする、という形。
こうしておけば、一度に全部説明した文書よりもより効率的に、その手順やルールを探すことができる。
上位、下位にあたるものは下記の通り。
<上位文書>
・ISMS基本方針
・ISMSマニュアルや適用範囲などを示した基本的なISMS文書
・ISMSの年間計画
<下位文書>
・ISMSを運用するのに決めたルール
・細々とした手順を示した文書
・挙証データと呼ばれる、規格書が要求するISMSを実行した証拠になる記録