情報セキュリティマネジメントシステム(ISMS)評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この新規格に対応する際のポイントとは何でしょう? とある会社のISMS推進チームメンバー、「みならい君」と一緒に学んでみましょう。
情報セキュリティマネジメントシステム(ISMS)の評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この物語は、ISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMSの仕組みをその新規格(ISO/IEC27001:2013)へ対応させる作業を行っていく過程を描くものです。
読者の皆さまには、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。
なお、「みならい君」が所属する会社は2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。
第1回目となる今回のテーマは、ISMS改訂対応作業の全体概要です。
今回、ISMS推進チームに配属になりました“みならい”です!
同じく、ISMS推進チームに配属になりました“なおこ”です。よろしくお願いします。
お〜“みならい君”と“なおこさん”か、よろしく頼むよ! 2人とも先週のISMS改訂の外部研修はどうだった?
はい、僕は講義についていくのがやっとだったのですが、なおこ先輩は、本質的な質問をガンガン講師の先生にしており、圧倒されました!
はい、私の場合は、2008年の当社のISMS認証の時に少し携わっていましたので、今回のISO/IEC27001の改訂で、「何が変わったのか」というよりは、「なぜ変わったのか」という方に興味があり、その辺りの質問ばっかりしてしまいました。
そうだね、確実に規格の改訂対応を行うためには、「なぜ変わったのか」などの改訂の背景や、その狙いを最初に理解することが重要だからね。何事も本質が重要だよね!
そうなのですね! 僕は、単に旧規格と新規格の相違点を特定して、その差分を埋める作業をすれば終わりだと思っていました!
それでは、まずは改訂の狙いを理解することから始めてみようか。みならい君、今回研修で学んだことから、簡単に説明してもらえるかな?
はい! 今回の改訂では、ISO31000:2009とISO Guide73:2009との整合やISO Guide83附属書SL-Appendix3の採用と……附属書Aの見直し……あれ、分かっていたようで、良く分からないな〜。
本当にそうだわ、たかし常務。今回の改訂はいろいろな要素が関係しているんですね!
そうだね。ただし要約すると、ISO/IEC27001の規格そのものの見直しと、ISO/IEC27001の規格に影響を与える他の規格との整合の2つに分類できるね。
なるほど、リスクに関する用語や考え方の規格であるISO31000やISO Guide73との整合やISO Guide83の採用が“ISO/IEC27001の規格に影響を与える他の規格との整合”に当たるのですね。
そうだね、その中でも、特にISO Guide83 附属書SL-Appendix3の採用が大きな影響を与えているね。
その“ISO Guide83 附属書SL-Appendix3”って何ですか?
私も概要は理解できたのですが、その意図や背景は正しく理解できていません。教えていただけますか?
そうだね、まずは背景から説明しようか。1987年のISO9000sの発行を皮切りに、1990年の後半にかけて、ISO14001(環境マネジメントシステム)やOHSAS18001(労働安全衛生マネジメントシステム)、BS7799-2(情報セキュリティマネジメントシステム)などのさまざまなマネジメントシステム規格が発行され、それらのマネジメントシステム規格の標準化が審議され始めたんだよ。
どうしてですか?
今後もいろいろなマネジメントシステム規格が発行されることを想定して、マネジメントシステム規格の開発に関する一定のルールを定めることにしたんだよ。
それで、2001年にISO Guide72(マネジメントシステム規格の正当性及び作成に関する指針)が発行されたんですね。
そう。ただし、ISO Guide72で規定されていたのは、ISOや国家規格機関などがマネジメントシステム規格を開発する際には、方針、コミットメント、責任権限、文書管理、内部監査、マネジメントレビューなどの主要な要素を含めることだけだったんだ。
その結果、各マネジメントシステム規格は、内容は似ているけど構成がバラバラになってしまったんですね。
そうなんだよ。特にひどいのが、マネジメントレビューの位置付けなんだよ。ISO9001やISMSにおいては、PDCAの「Check」に位置付けられているのに、ISO14001やOHSAS18001では「Act」に位置付けられていたりね。
それでは、複数のマネジメントシステム規格を導入している企業は、各々バラバラに運用することになってしまいますね……。
それが問題視され、今回のISO Guide83の発行に至ったんだよ。
なるほど! 今後は、複数のマネジメントシステム規格を採用し、導入する企業は、容易にそれらを統合し、運用可能になりますね!
ということは、来年度に予定されている当社のISO9001の仕組みの新規格(ISO9001:2015)対応も大幅に負荷を軽減できますね!
Copyright © ITmedia, Inc. All Rights Reserved.