ISMS文書管理方針
本方針は、当社の情報セキュリティマネジメントシステム(ISMS)に関連する全ての文書(方針、規程、手順書、記録など)を体系的かつ一貫して管理することを目的とする。これにより、文書の正確性、信頼性、可用性および改訂履歴の追跡性を確保する。
2. 適用範囲
Section titled “2. 適用範囲”本方針は、ISMSに関連するすべての文書に適用され、作成者、レビュアー、承認者および利用者を含む関係者全員に適用される。
3. 文書分類
Section titled “3. 文書分類”ISMS文書は以下の種別に分類される。
| 分類コード | 種別 | 説明 |
|---|---|---|
| POL | 方針(Policy) | 組織の基本的な情報セキュリティの方針文書 |
| STD | 規程・標準(Standard / Rule) | 方針を具体化した運用ルール |
| PRC | 手順書(Procedure) | 実務的な手順や処理フローを定めた文書 |
| GDL | ガイドライン(Guideline) | 推奨される運用や参考情報を示す文書 |
| FRM | 記録様式・帳票(Form / Record) | 情報の記録や申請に使用する様式類 |
| RPT | 報告書(Report) | 内部監査やレビュー結果などの文書 |
| MNL | マニュアル(Manual) | 特定の業務やシステムの操作手順書 |
| IDX | 索引類(Index) | 全体を俯瞰するガイド |
| OTH | その他(Other) | 上記に該当しない文書 |
4. 文書状態(ステータス)
Section titled “4. 文書状態(ステータス)”文書の作成・改訂状況に応じて、以下のステータスで管理する。
| 状態コード | 名称 | 説明 |
|---|---|---|
| draft | 草案 | 作成中で未レビューの文書 |
| review | レビュー中 | レビュー中または承認待ちの文書 |
| approved | 承認済 | 承認され、現在有効な文書 |
| obsolete | 廃止済 | 無効となり、アーカイブされた文書 |
| pending_update | 更新予定 | 更新が必要と判断された文書 |
| record | 台帳系 | 日々更新される文書(ledgers/・registry/ 配下の台帳・索引で使用) |
5. 保管場所とディレクトリ構成
Section titled “5. 保管場所とディレクトリ構成”-
ISMS文書は、GitHubプライベートリポジトリ
airs/ismsで保管する。mainブランチ上の文書を正本とする。 -
リポジトリ内のディレクトリは以下のとおり使い分ける。
パス 内容 管理水準 docs/registry/文書一覧・体系図・対応表(FRM-001、IDX類) 台帳系(随時更新) docs/policies/方針・規程(POL) 版管理・年次レビュー docs/manuals/マニュアル・手順書(MNL、PRC) 版管理・年次レビュー docs/forms/記録様式テンプレート(FRM、RPT様式) 版管理・年次レビュー docs/ledgers/運用中の台帳(記入済みFRM) 台帳系(随時更新) docs/records/<年度>/年度別の記録(監査・教育・議事録・証跡等) 不変。事後修正しない archive/旧システムからの移行原本 読み取り専用 -
「年度」は当社の事業年度を指し、ディレクトリ名には開始年の西暦4桁を用いる(例:
docs/records/2025/)。 -
記録(
docs/records/)は作成後に変更しない。注記が必要な場合は、本文を変更せずフロントマター直後に引用形式の「編注」を付す。 -
Markdownで管理できない文書(法定保存文書、契約書、押印書類等)は従来どおりGoogleドライブ等の所定の場所で保管し、本リポジトリの文書からは所在を明記して参照する。
6. 命名規則
Section titled “6. 命名規則”-
文書(POL/STD/PRC/GDL/MNL/IDX/RPT様式/FRM様式・台帳)のファイル名には以下の命名規則を適用する。
[分類コード]-[3桁の連番]_[タイトル].md例:
POL-001_情報セキュリティ方針.md -
記録(
docs/records/)のファイル名は、実施日が特定できるものはYYYY-MM-DD_[内容].md、年度単位のものはYYYY年度[内容].mdとする。文書番号を持つ様式に基づく記録は、先頭に文書番号を付してよい(例:RPT-001_2025年度社内規定読み合わせ記録.md)。
7. 文書メタデータ(フロントマター)
Section titled “7. 文書メタデータ(フロントマター)”-
すべてのMarkdown文書はYAMLフロントマターでメタデータを管理する。
-
文書(
docs/records/以外)の必須キー:キー 内容 id文書番号(FRM-001の管理番号と1:1) title文書名 status4章の状態コード version版(軽微改訂は+0.1、大改訂は+1.0) author作成者 approver承認者(未承認は null)approved承認日(未承認は null)review_due次回レビュー期限 -
記録(
docs/records/)の必須キー:title、record_type(配置ディレクトリ名と一致)、date(実施日・作成日)、fy(年度)、author。承認を伴う記録はapprover・approvedを、原本が存在する場合はsourceを付す。 -
改訂履歴はフロントマターに持たせず、文書末尾の改訂履歴表(改定日・版・改定内容・承認)に記載する。詳細な差分はGit履歴で追跡できるため、表には変更の要約と理由のみを書く。
-
文書一覧(
docs/registry/FRM-001_ISMS文書一覧.md)は各文書のフロントマターから導出される台帳であり、文書の追加・状態変更時は同一プルリクエストで更新する。フロントマターとFRM-001が相違した場合はフロントマターを正とする。
8. 文書の作成・改訂・承認プロセス
Section titled “8. 文書の作成・改訂・承認プロセス”文書の作成・改訂・承認はGitHubのプルリクエスト(PR)で行う。
- 作成:作成者がブランチ上でドラフトを作成し、PRを作成する(
status: draft) - レビュー:レビュアーによるレビュー・フィードバックを実施する(
status: review) - 承認:ISMS責任者または所定の承認者がPRを承認し、
mainへマージする。マージをもって承認とし、approvedに承認日を記録する(status: approved) - 配布・運用:
mainへのマージにより最新版が配布される。重要な改訂は関係者にSlack等で通知する - 保管・廃止:廃止文書は
status: obsoleteに変更してdocs/obsolete/へ移動し、FRM-001を更新する。履歴はGitに残る
9. レビューと更新
Section titled “9. レビューと更新”- 各文書は原則として年1回以上のレビューを行う。
- 法令改正・組織変更・インシデント発生時など必要に応じて随時改訂を行う。
10. アクセス制御
Section titled “10. アクセス制御”- リポジトリ
airs/ismsはプライベートとし、public化を禁止する。 - アクセス権限はGitHub Organizationのメンバー・コラボレータ設定で管理し、付与・剥奪はISMS責任者が行う。
- 法令や規制により一定期間の保管が求められる文書(経理関係書類、労務関係書類など)は、滅失や改ざんを防ぐため、適切なアクセス権のもとで所定の期間、保管しなければならない。
11. 文書管理の例外
Section titled “11. 文書管理の例外”- システムに関するドキュメント類は、変更が頻繁に発生するため、ISMS文書管理の正式な管理対象外とする。 ただし、これらのドキュメントは各システム、プロジェクト責任者が所在を明示し、常に最新状態を維持すること。
- 管理対象外としたドキュメントは、監査の際に参照できるようリンク一覧や所在情報を整理しておくこと。
| 改定日 | 版 | 改定内容 | 承認 |
|---|---|---|---|
| 2025-08-22 | - | 初版制定(Googleドキュメント) | 加藤匡邦 |
| 2025-09-05 | - | 「改訂履歴」を3章に移動。「法定保存文書の保護」の項目を追加 | 加藤匡邦 |
| 2025-09-12 | - | 10章「文書管理の例外」を追加 | 加藤匡邦(2025-09-12 承認) |
| 2026-06-10 | 2.0 | GitHubリポジトリ(airs/isms)への移行に伴う大改訂。保管場所・ディレクトリ構成(5章)、記録の命名規則(6章)、フロントマター規定(7章)を新設し、承認プロセスをPRフローに変更(8章)。アクセス制御をGitHub権限で定義(10章)。改訂履歴を文書末尾に移動し版・承認列を追加 | 加藤匡邦 |