情報セキュリティマネジメントシステム(ISMS)評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。今回も「みならい君」と一緒に「規格要求事項」の変化を学びます。
この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMSの仕組みを新規格(ISO/IEC27001:2013)へ対応する作業を行っていく物語です。
読者の皆さま、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。
なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。
第2回目となる今回のテーマは、規格要求事項の変更点や追加点の理解(1)です。
よ〜し、みんなそろったかな〜?
は〜い、本日もよろしくお願いしま〜す!
常務、本日は、改訂版ISMSの規格要求事項の理解ですね!
そうだね、ところで、なおこさん、先日頼んでいた宿題は完成したかな?
は〜い、もちろんです。旧規格との対応表ですよね!
ISO/IEC27001:2013の規格要求事項 | ISO/IEC27001:2005の規格要求事項 |
---|---|
4.1 組織およびその状況の理解 | なし |
4.2 利害関係者のニーズおよび期待の理解 | なし |
4.3 ISMSの適用範囲の決定 | 4.2 ISMS の確立および運営管理 4.2.1 ISMS の確立 a) |
4.4 情報セキュリティマネジメントシステム | 4.1 一般要求事項 |
5.1 リーダーシップおよびコミットメント | 5 経営陣の責任 5.1 経営陣のコミットメント |
5.2 方針 | 4.2 ISMSの確立および運営管理 4.2.1 ISMSの確立 b) |
5.3 組織の役割、責任および権限 | 5 経営陣の責任 5.1 経営陣のコミットメント c) |
6.1 リスクおよび機会への取り組み 6.1.1 一般 |
なし |
6.1 リスクおよび機会への取り組み 6.1.2 情報セキュリティリスクアセスメント |
4.2 ISMSの確立および運営管理 4.2.1 ISMSの確立 a) 〜e) |
6.1 リスクおよび機会への取り組み 6.1.3 情報セキュリティリスク対応 |
4.2 ISMSの確立および運営管理 4.2.1 ISMSの確立 f) 〜j) |
6.2 情報セキュリティ目的およびそれを達成するための計画策定 | なし |
7.1 資源 | 5.2 経営資源の運用管理 5.2.1 経営資源の提供 |
7.2 力量 | 5.2 経営資源の運用管理 5.2.2 教育・訓練、意識向上および力量 |
7.3 認識 | 5.2 経営資源の運用管理 5.2.2 教育・訓練、意識向上および力量 |
7.4 コミュニケーション | なし |
7.5 文書化された情報 | 4.3 文書化に関する要求事項 |
8.1 運用の計画および管理 | 4.2.2 ISMSの導入および運用 |
8.2 情報セキュリティリスクアセスメント | 4.2 ISMSの確立および運営管理 4.2.1 ISMSの確立 a) 〜e) |
8.3 情報セキュリティリスク対応 | 4.2 ISMSの確立および運営管理 4.2.1 ISMSの確立 f) 〜j) |
9.1 監視、測定、分析および評価 | 4.2.3 ISMS の監視およびレビュー |
9.2 内部監査 | 6 ISMS内部監査 |
9.3 マネジメントレビュー | 7 ISMSのマネジメントレビュー |
10.1 不適合および是正処置 | 8.2 是正処置 |
10.2 継続的改善 | 8.1 継続的改善 |
うん、よくできているね。
なおこ先輩すご〜い! これなら新しい規格と旧規格の対比が一目瞭然ですね。これを見ると「なし」と書いてある規格要求事項が追加されたものですね。
そうだね、その大半が、前回のミーティングで説明したハイレベルストラクチャに関連するものだね。
常務、私、一つ気になる点があるんですが……。いままでの規格は「4.1 一般要求事項」が最初の要求事項だったのに、その前にいくつか要求事項が存在してますよね……。
確かにそうですよね。大半のマネジメントシステム規格は、いままで「4.1 一般要求事項」が最初の要求事項でしたよね。
そうだね、今日のミーティングは、その辺りから進めていこうか?
旧規格の「4.1 一般要求事項」が、新規格の「4.4 情報セキュリティマネジメントシステム」に該当することは分かったのですが、「4 組織の状況」の全体感がよく理解できていません。
そうだね、この部分は、さっき言ったように、ハイレベルストラクチャに関連する新しい考え方だから説明が必要だね。
ぜひ、お願いします!
「4.1 組織およびその状況の理解」と「4.2 利害関係者のニーズおよび期待の理解」の一つの役割は、適切なISMSの適用範囲を設定するために必要な情報を提供することなんだよ!
だから、「4.1 組織およびその状況の理解」では、“組織の目的に関連し、かつ、そのISMSの意図した成果を達成する組織の能力に影響を与える外部および内部の課題を決定すること”を要求しているのですね! でも、これ具体的にはどういうことだろう?
分かりやすくいうと、“適切なISMSの適用範囲を決定するために、自社を取り巻く環境(状況)を整理する”ということなんだよ!
でも、“自社を取り巻く環境(状況)”って、どんなものがあるかしら?
今回一緒に改訂されたISMSの用語の定義である、ISO/IEC27001:2013では、“内部の状況”には、組織体制、役割、戦略、資源、情報システム、組織の文化、組織が採択した規格、指針およびモデルなどを含むことがある、といっているよ。
へ〜
また、“外部状況”には、文化、社会、政治、法律・規制、技術、自然および競争の環境などを含むことがある、としているんだ。
う〜ん、難しいな〜
みならい君! 分かりやすくいうと、ISMSの適用範囲を決定する際には、自社のビジネス形態、提供している製品やサービス、自社の組織や部門および活動、内外のネットワーク環境、サプライチェーンにおける自社の位置付け、取引先、関連する法規制、外部組織のニーズや期待および関心事などを考慮して決定してください、ということだと思うわ!
そうだね、それらのインプットを明確にし、「4.3 ISMSの適用範囲の決定」の要求事項に基づき、ISMSの適用範囲を決定する。そして「4.4 ISMS」の要求事項に基づいて導入し、PDCAを回すことを指しているんだよ!
そうか!「4 組織の状況」は、ひと言でいうとISMSの適用範囲を決定するための要求事項ということですね!
うん、極論過ぎるけど、言っていることは間違いないね。
常務! 正しくは、適切なISMSを確立し、効果的な運用を実現するためのインプットを提供するための要求事項と理解してもよろしいでしょうか?
うん、まさにその通り! 特に後半部分も大切だね!
後半部分?
それでは、その部分にも触れてみよう!
よろしくお願いします!
Copyright © ITmedia, Inc. All Rights Reserved.