ISMS改訂対応の総仕上げ、移行審査の計画を立て、受審する：みならい君のISMS改訂対応物語（6）（1/3 ページ）

みならいくんたちのISMS改訂準備も今回が最終回。最後は移行審査までの計画を整理し、これまでの総仕上げを行います。

[打川和男，＠IT]

連載目次

　この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMS仕組みを新規格（ISO/IEC27001:2013）へ対応する作業を行っていく物語です。

　読者の皆さまには、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。

　なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。

　最終回である今回のテーマは、「移行審査の計画を立て、受審する」です。

改訂対応作業の整理

さ〜みんな、そろそろ始めようか？

は〜い、本日もよろしくお願いしま〜す！

本日でミーティングは終わりですね。

これまでのミーティングで解説した、改訂に必要な作業のポイントや概要は理解できたかな？

はい！ 意図をキチンと整理できました！

常務！ 早速、改訂作業を開始するんですね！

まずは改訂作業を整理しようか。

はい常務！ 改訂作業のステップは、以下のとおりです。

• ISMSの方針を改訂する
• 基本規程（ISMSマニュアルなど）を改訂する
• 管理策に関する規程（情報セキュリティ対策規程など）を改訂する
• 適用宣言書を改訂する

それでは詳しく見ていこうか！ まずはISMSの方針の改訂だね。

ISMSの方針内容に関する規格要求事項の変更は「d）ISMSの継続的改善へのコミットメントを含む」ことが追加されただけですよね？

そうだね、現在のISMSの方針にその文面を追加する必要があるね！

図1　改訂作業のステップ（クリックで拡大）

次は、基本規程（ISMSマニュアルなど）の改訂のポイントですね！

第2回目と第3回目のミーティングでやった、追加／変更された規格要求事項の対応ですね！

そうだね、みならい君。どのような手順を、ISMSマニュアルなどの基本規程に追加／変更すべきか、整理してくれるかな？

はい常務、待ってました！ 追加する必要がある手順は、以下のとおりです！

• ISMSのリスクマネジメントに関する手順
• 情報セキュリティ目的／目標の管理に関する手順
• ISMSにおけるコミュニケーションの管理に関する手順

みならい君、すご〜い！

へへへ、また、変更する必要がある手順は以下のとおりです！

• リスクアセスメントおよびリスク対応に関する手順
• 変更管理に関する手順
• 委託している業務や委託先の管理に関する手順
• 是正処置に関する手順

特に、二つのリスクマネジメントは、基本規程にその手順を明確にする必要があるわね

よく整理できているね！ これらを踏まえて、ISMSマニュアルなどの基本規程を改訂しよう！

は〜い！

図2　二つのリスクマネジメント（クリックで拡大）