フォーク利用ガイド

このガイドでは、ISMS 文書テンプレートを自組織向けにカスタマイズする手順を説明します。

はじめに

本リポジトリのテンプレートは、ISO/IEC 27001:2022 認証取得を目指す組織向けの雛形です。そのまま使用するのではなく、必ず自組織の状況に合わせてカスタマイズしてください。

Step 1: リポジトリのフォーク

GitHub でフォーク

1. btajp/isms-guide にアクセス
2. 右上の「Fork」ボタンをクリック
3. 自分のアカウント/組織にフォーク

ローカルにクローン

git clone https://github.com/YOUR_ORG/isms-guide.git
cd isms-guide

Step 2: 組織情報の設定

本テンプレートでは、サンプルデータとして「株式会社テクノソリューションズ」という仮想組織を使用しています。詳細は 仮想組織の設定 を参照してください。

仮想組織ドキュメントには、置き換えるべき項目の チェックリスト と、組織規模に応じた 調整ポイント が含まれています。

2.1 自動生成ツールを使用する方法（推奨）

文書自動生成ツールを使用すると、設定ファイルに基づいて主要プレースホルダーを一括で置換できます。未対応の項目は手動で置換してください。

設定ファイルの作成

organization.example.json をコピーして organization.json を作成し、自組織の情報を入力します。

cp organization.example.json organization.json

{
  "組織名": "株式会社サンプル",
  "ISMS責任者": "情報セキュリティ部長",
  "発効日": "2025-04-01",
  "適用範囲": "本社情報システム部門",
  "承認者": "代表取締役",
  "実施状況": "実施済",
  "バージョン": "1.0"
}

文書の生成

# 文書を生成（outputディレクトリに出力）
node scripts/generate-docs.js organization.json

# 出力先を指定する場合
node scripts/generate-docs.js -o ./my-isms-docs organization.json

ヘルプとオプション

# ヘルプを表示
node scripts/generate-docs.js --help

# 利用可能なプレースホルダーを一覧表示
node scripts/generate-docs.js --list

2.2 手動で一括置換する方法

sedコマンドを使用して手動で置換することもできます。

# 組織名の置換
find docs/isms -name "*.md" -exec sed -i '' 's/{{組織名}}/株式会社サンプル/g' {} \;

# ISMS責任者の置換
find docs/isms -name "*.md" -exec sed -i '' 's/{{ISMS責任者}}/情報セキュリティ管理者/g' {} \;

# 発効日の置換
find docs/isms -name "*.md" -exec sed -i '' 's/{{発効日}}/2025-04-01/g' {} \;

2.3 主要プレースホルダー一覧

プレースホルダー	説明	例
	正式な組織名称	株式会社サンプル
	ISMS 管理責任者の役職/氏名	情報セキュリティ部長
	文書の発効日	2025-04-01
	ISMS の適用範囲	本社情報システム部門
	文書承認者	代表取締役

Step 3: 文書のカスタマイズ

3.1 ISMS マニュアル

docs/isms/manual/isms-manual.md を開き、以下を設定：

1. 適用範囲: 組織の ISMS 適用範囲を具体的に記載
2. 組織図: 自組織の情報セキュリティ体制を反映
3. 利害関係者: 顧客、従業員、規制当局などを特定

3.2 情報セキュリティ方針

docs/isms/policies/information-security-policy.md を確認：

1. 経営者のコミットメント: 経営層の署名欄を設定
2. 方針の内容: 組織の戦略・目標に合わせて調整

3.3 適用宣言書

docs/isms/soa/statement-of-applicability.md は最重要文書です：

1. 93 の管理策それぞれについて適用/除外を決定
2. 除外する場合は正当な理由を記載
3. 実装状況を定期的に更新

Step 4: 記録テンプレートの準備

docs/isms/records/ 配下の記録テンプレートは、運用開始後に使用します。

運用開始前の準備

1. テンプレートの内容を確認
2. 必要に応じてフィールドを追加/削除
3. 記録の管理方法（保管場所、保管期間）を決定

記録の命名規則（推奨）

# インシデント報告書の例
INC-2025-001_20250415_malware.md

# 内部監査報告書の例
IA-2025-Q1_20250331.md

Step 5: バージョン管理

フロントマターの更新

文書を更新したら、フロントマターを更新します：

---
version: "1.1"           # バージョン番号を更新
status: "active"         # draft → active に変更
---

改訂履歴の記録

各文書の「改訂履歴」セクションを更新：

| 版 | 日付 | 変更内容 | 承認者 |
|----|------|----------|--------|
| 1.0 | 2025-04-01 | 初版作成 | 情報セキュリティ部長 |
| 1.1 | 2025-07-01 | 3.2節追加 | 情報セキュリティ部長 |

Step 6: 審査対応

文書化した情報の要件

ISO/IEC 27001:2022 箇条 7.5 に基づき、以下を確保：

1. 識別: 文書ID、タイトル、日付、作成者
2. 形式: Markdown → PDF 変換など
3. レビュー・承認: 承認欄の署名
4. 配付: アクセス制御、最新版の確保
5. 保管・保護: バックアップ、変更履歴
6. 変更管理: Git によるバージョン管理
7. 保持・廃棄: 保管期間の設定

審査時のポイント

• フロントマターで status: "active" を確認
• 改訂履歴が最新であること
• 承認者の署名/確認があること
• 記録は実際の運用実績を反映していること

チェックリスト

初期設定

• [ ] リポジトリをフォーク
• [ ] 組織情報のプレースホルダーを置換
• [ ] ISMS マニュアルの適用範囲を設定
• [ ] 情報セキュリティ方針を経営層承認

文書整備

• [ ] 適用宣言書（SoA）の作成
• [ ] 各方針文書のカスタマイズ
• [ ] 手順書の内容確認・調整
• [ ] 計画書の目標設定

運用準備

• [ ] 記録テンプレートの準備
• [ ] 記録管理方法の決定
• [ ] 内部監査計画の策定
• [ ] 教育訓練計画の策定

トラブルシューティング

Q: プレースホルダーが残っている

# 未置換のプレースホルダーを検索
grep -r '{{' docs/isms/

Q: 内部リンクが壊れている

# リンク先ファイルの存在確認
find docs/isms -name "*.md" -exec grep -l '\[.*\](.*.md)' {} \;

Q: フロントマターのエラー

YAML 構文を確認：

• インデントは半角スペース2つ
• コロンの後に半角スペース
• 値に特殊文字がある場合はクォートで囲む

参考リンク

• テンプレート一覧 - 全テンプレートの概要
• 仮想組織の設定 - テンプレートで使用する仮想組織
• 要求事項 - ISO/IEC 27001 要求事項の解説
• 用語集 - ISMS 関連用語の定義