情報セキュリティマネジメントの改訂ポイント:みならい君のISMS改訂対応物語(3)(4/4 ページ)
是正処置に関する変更のポイント
はい!(1)修正処置の明確化、(2)不適合の発生確認の水平展開、(3)記録の明確化ですね!
なおこ先輩、すご〜い!
| ISO/IEC27001:2005 | ISO/IEC27001:2013 | |
|---|---|---|
| 修正処置 | a) その不適合に対処し、該当する場合には、必ず、次の事項を行う 1) その不適合を管理し、修正するための処置をとる 2) その不適合によって起こった結果に対処する |
|
| 是正処置 | a) 不適合の特定 b) 不適合の原因の決定 c) 不適合の再発防止を確実にするための処置の必要性の評価 |
b) その不適合が再発または他のところで発生させないため、次の事項によって、その不適合の原因を除去するための処置をとる必要性を評価する 1) その不適合をレビューする 2) その不適合の原因を明確にする 3) 類似の不適合の有無、またはそれが発生する可能性を明確にする |
| d) 必要な是正処置の決定および実施 | c) 必要な処置を実施する | |
| f) とった是正処置のレビュー | d) とったすべての是正処置の有効性をレビューする | |
| e) 必要な場合には、ISMS の変更を行う | ||
| e) とった処置の結果の記録(4.3.3 参照) | 是正処置は、検出された不適合の持つ影響に応じたものでなければならない 組織は、次に示す事項の証拠として、文書化した情報を保持しなければならない f) 不適合の性質およびとった処置 g) 是正処置の結果 |
|
そうだね、前規格でも実施することが意図されていた、修正処置(不適合を除去する処置)が明確に規定されたことだね、それじゃあみならい君、修正処置と是正処置の違いは?
はい、常務! 任せてください! 修正処置は、発生した“不適合”そのものを除去する処置、すなわち、あくまでも暫定処置であって、是正処置は、発生した“不適合の原因”を除去する処置、すなわち、再発防止策のことを指します!
よく理解できているね! また今回の改訂では、記録を維持する(文書化した情報を保持する)対象が明確になり、いまみならい君が言った、修正処置の結果(10.1(f))と是正処置の結果(10.1(g))を記録すると明確になったんだよ!
常務! 是正処置の核となるプロセスでも、「類似の不適合の有無,またはそれが発生する可能性を明確にする(10.1(b)3)」が追加されていますが、予防処置のことを指しているんでしょうか?
う〜ん、潜在的な不適合の特定だから、狭い範囲の予防処置とは言えないこともないけど、これはあくまでも是正処置の水平展開の範囲だね、あくまでも、予防処置の考え方は、前回のミーティングでも話したように、「6.1.1 一般」のリスクおよび機会への対応で特定される、“マネジメント(ISMS)”に関するリスクマネジメントが、旧規格の予防処置にあたるんだよ!
ありがとうございます! 何かすっきりしました!
これで、規格本文の要求事項の変更は終わりですよね?
うん、そうだね、次回のミーティングでは、附属書Aの管理策の変更点を明確にしていこう!
は〜い!
次の連載では、附属書Aの管理目的および管理策の変更点や追加点を解説します。お楽しみに!
ISMS改訂対応のステップ打川和男(うちかわ かずお)
株式会社アイテクノ 常務取締役 コンサルティング事業本部 本部長 ISMS上席コンサルタント
ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISO14001、ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。
2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」の著者であり、ISO関連の著書は20冊を超える。
本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。