情報セキュリティマネジメントの改訂ポイントみならい君のISMS改訂対応物語(3)(4/4 ページ)

» 2014年09月24日 18時00分 公開
[打川和男@IT]
前のページへ 1|2|3|4       

是正処置に関する変更のポイント

はい!(1)修正処置の明確化、(2)不適合の発生確認の水平展開、(3)記録の明確化ですね!


みならい君

なおこ先輩、すご〜い!


表4 是正処置に関する要求事項のポイント
  ISO/IEC27001:2005 ISO/IEC27001:2013
修正処置 a) その不適合に対処し、該当する場合には、必ず、次の事項を行う
1) その不適合を管理し、修正するための処置をとる
2) その不適合によって起こった結果に対処する
是正処置 a) 不適合の特定
b) 不適合の原因の決定
c) 不適合の再発防止を確実にするための処置の必要性の評価
b) その不適合が再発または他のところで発生させないため、次の事項によって、その不適合の原因を除去するための処置をとる必要性を評価する
1) その不適合をレビューする
2) その不適合の原因を明確にする
3) 類似の不適合の有無、またはそれが発生する可能性を明確にする
d) 必要な是正処置の決定および実施 c) 必要な処置を実施する
f) とった是正処置のレビュー d) とったすべての是正処置の有効性をレビューする
e) 必要な場合には、ISMS の変更を行う
e) とった処置の結果の記録(4.3.3 参照) 是正処置は、検出された不適合の持つ影響に応じたものでなければならない
組織は、次に示す事項の証拠として、文書化した情報を保持しなければならない
f) 不適合の性質およびとった処置
g) 是正処置の結果

そうだね、前規格でも実施することが意図されていた、修正処置(不適合を除去する処置)が明確に規定されたことだね、それじゃあみならい君、修正処置と是正処置の違いは?


みならい君

はい、常務! 任せてください! 修正処置は、発生した“不適合”そのものを除去する処置、すなわち、あくまでも暫定処置であって、是正処置は、発生した“不適合の原因”を除去する処置、すなわち、再発防止策のことを指します!


よく理解できているね! また今回の改訂では、記録を維持する(文書化した情報を保持する)対象が明確になり、いまみならい君が言った、修正処置の結果(10.1(f))と是正処置の結果(10.1(g))を記録すると明確になったんだよ!


常務! 是正処置の核となるプロセスでも、「類似の不適合の有無,またはそれが発生する可能性を明確にする(10.1(b)3)」が追加されていますが、予防処置のことを指しているんでしょうか?


う〜ん、潜在的な不適合の特定だから、狭い範囲の予防処置とは言えないこともないけど、これはあくまでも是正処置の水平展開の範囲だね、あくまでも、予防処置の考え方は、前回のミーティングでも話したように、「6.1.1 一般」のリスクおよび機会への対応で特定される、“マネジメント(ISMS)”に関するリスクマネジメントが、旧規格の予防処置にあたるんだよ!


ありがとうございます! 何かすっきりしました!


みならい君

これで、規格本文の要求事項の変更は終わりですよね?


うん、そうだね、次回のミーティングでは、附属書Aの管理策の変更点を明確にしていこう!


みならい君

は〜い!


 次の連載では、附属書Aの管理目的および管理策の変更点や追加点を解説します。お楽しみに!

ISMS改訂対応のステップ

打川和男(うちかわ かずお)

株式会社アイテクノ 常務取締役 コンサルティング事業本部 本部長 ISMS上席コンサルタント

ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISO14001、ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。

2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」の著者であり、ISO関連の著書は20冊を超える。

本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp


前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。