ISMS改訂対応の総仕上げ、移行審査の計画を立て、受審する：みならい君のISMS改訂対応物語（6）（2/3 ページ）

[打川和男，＠IT]

管理策に関する規程の改訂

次は、情報セキュリティ対策規程など管理策に関する規程の改訂だね！

第4回目と第5回目のミーティングでやった、追加／変更された規格要求事項の対応ですね！

図3　2013年版で追加／変更された管理策（クリックで拡大）

そうだね、追加された管理策と変更された管理策では、対応が変わるね。

そうですよね。追加された管理策の対応は必要に応じてリスクアセスメントを実施して、その適用可否を判断してから手順を追加する必要がありますね！

それに対して、変更された管理策の対応では、現在それらの管理策を適用している場合に当該手順の改訂をすればよいんですね！

よく理解できているね！ 最後は、適用宣言書の改訂だね。

図4　2013年版の適用宣言書（クリックで拡大）

これは簡単ですね！ 2005年度版の適用宣言書を元に転記して、追加された管理策で“適用”と判断したものを追記して、2013年版の附属書Aになくなった管理策を削除すればよいのですよね？

みならい君ちょっと待って！ 2013年版の附属書Aでなくなった管理策は、単に削除していいのかしら？

なおこ君、良く気が付いたね！

え〜っ、どういうことですか？

2013年版でなくなった管理策といっても、その時点ではリスクを低減する必要があると判断して適用されたわけよね？ 例えば、うちの会社では現在でも2005年版の附属書Aの「A.10.9.3 公開情報」を適用して、Webサイトの完全性を保つための管理策を講じているわ

そうか！ 附属書Aから管理策が削除されているからといって、当社からそのリスクがなくなったわけではないから、単に削除すればいいというわけではないんですね！

ISO27001:2013の“6.1.3 情報セキュリティリスク対応”b）の注記でも、「任意の情報源の中から管理策を特定することができる」と書かれているわ。

なるほど！ その“任意の情報源”の一つとして、2005年版の附属書Aを採用するという考え方ですね！

そうだね、各企業の対応は、大きく分けて次の二つが多いようだね

• 2013年版で削除された2005年版の附属書Aの管理策に基づく、情報セキュリティ管理策は継続するが、適用宣言書からは除く
• 2013年版で削除された2005年版の附属書Aの管理策に基づく、情報セキュリティ管理策を継続し、適用宣言書に、それらの2005年版の附属書Aの管理策を残す

なるほど！ よ〜く分かりました！

それでは、移行審査までの計画を整理しようか？

は〜い！