検索
連載

ご存じですか? ISMS規格改訂の背景と意図みならい君のISMS改訂対応物語(1)(2/2 ページ)

情報セキュリティマネジメントシステム(ISMS)評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この新規格に対応する際のポイントとは何でしょう? とある会社のISMS推進チームメンバー、「みならい君」と一緒に学んでみましょう。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

ISMSの改訂作業

みならい君

今回のISO/IEC27001の改訂作業には、どのくらいの期間がかかったのですか?


みならい君、それは外部研修で学んだじゃない! 2008年の10月から2013年の10月までの5年間よ!


ステップ 時期
NWIP(新規作業項目提案) 2008年10月 第37回SC27/WG1会議(キプロス):改訂に着手
WD(作業原案) 2009年5月 第38回SC27/WG1会議(北京):WD1の作成決定
2009年11月 第39回SC27/WG1会議(レドモンド):WD2の作成決定
2010年4月 第40回SC27/WG1会議(マラッカ):WD3の作成決定
2010年10月 第41回SC27/WG1会議(ベルリン):WD3の作成決定
CD(委員会原案) 2011年4月 第42回SC27/WG1会議(シンガポール):CD1の作成決定
2011年10月 第43回SC27/WG1会議(ナイロビ):CD2の作成決定
2012年5月 第43回SC27/WG1会議(ストックホルム):CD3の作成決定
DIS(国際規格案) 2012年10月 第45回SC27/WG1会議(ローマ):DISの作成決定
2012年11月 DIS(国際規格案)の発行
DFIS(最終国際規格案) 2013年4月 第46回SC27/WG1会議(ソフィアアンティポリス):FDISの作成決定
2013年7月 FDIS(最終国際規格案)の発行
2013年9月 FDIS(最終国際規格案)の投票締め切り
IS(国際規格) 2013年10月 ISO/IEC27001:2013発行
表1 ISO/IEC27001の改訂作業

ISO規格は、新規格の開発でも既存の規格の改訂でも、必ず新規作業法目提案(NWIP)が提出され、3カ月の投票が行われるんだよ。その後12カ月をめどに作業原案(Working Draft)が作成され、24カ月をめどに委員会原案(Committee Draft)が作成される。最終的に、国際規格案(Draft International Standard)に基づき、3カ月の投票が行われるんだ。


投票の際に、何か条件はあるのですか?


うん、3分の2以上の賛成を得て、かつ反対が投票総数の4分の1以下にとどまっていることが条件なんだよ。その後、最終国際規格案(Final Draft International Standard)が作成された後、3カ月の投票が行われ、国際規格(International Standard)として発行されるんだよ。


みならい君

そ〜か〜。そんなに長い期間をかけて、改訂作業が行われるのですね。


その間にはいろいろな事項が各国から提案され、審議されるんだよ。


今回は、どんなことが審議されたんですか?


例えば、ある国からは「附属書Aの内容をITセキュリティに関連する内容だけにしたらよいのでは」という意見が出されたんだよ。


私も違和感がありました。リスク管理策の中に、方針や体制に関する管理策が含まれていることが……。


また、別のある国からは「附属書Aをなくすべきである」という大胆な意見が出されたんだよ。


みならい君

へ〜。


それにはちゃんとした意図があったんだよ。現在のISMS構築組織が、附属書Aをリスクアセスメントのツールとして用い、附属書Aありきの管理策を実装していることを問題視した発言だったんだよ。


どういうことですか?


リスクアセスメントは、あくまでも組織の情報(資産)について実施すべきものだよね。附属書Aは、あくまでも管理策の抜け、漏れを防ぐためのチェックリストとして用いることを意図しているからね。


みならい君

でも最終的には、附属書Aはなくならなかったのですね。


うん。でもその意図は、新規格(ISO/IEC27001:2013)のリスクアセスメントの規格要求事項で明確に言及されているよ。


気が付きませんでした……もう一度よく勉強し直します。


うん、そうだね、次回のミーティングでは、その辺を明確にしていこう!



図3 ISO/IEC27001:2013の構成

ISMS改訂対応のステップ

それでは、最後にISMS改訂対応のステップを整理しようか? なおこさん、お願いできるかな?


はい、私の理解ですと、

  1. ISMS改訂の意図や背景を理解すること
  2. 規格要求事項の変更点や追加点を理解し、既存の基本規程を見直すこと
  3. 追加、削除、変更された附属書Aの管理目的と管理策に基づき、既存のリスクアセスメント結果や情報セキュリティ管理策を見直すこと
  4. 移行審査の計画を立て、受審すること

だと思っていますが、いかがでしょうか?


うん、よく理解できているね!


みならい君

なるほど、本日のミーティングが“1. ISMS改訂の意図や背景を理解すること”に当たるんですね!



図4 ISMS改訂対応のステップ

 連載第2回では、規格要求事項の変更点や追加点を解説します。お楽しみに!

打川和男(うちかわ かずお)

株式会社アイテクノ 常務取締役 コンサルティング事業本部 本部長 ISMS上席コンサルタント

ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISO14001、ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。

2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」の著者であり、ISO関連の著書は20冊を超える。

本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  8. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  9. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  10. CrowdStrike、約850万台のWindowsデバイスで発生したブルースクリーン問題を謝罪 原因と対処法を公開
ページトップに戻る