ご存じですか? ISMS規格改訂の背景と意図:みならい君のISMS改訂対応物語(1)(2/2 ページ)
情報セキュリティマネジメントシステム(ISMS)評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この新規格に対応する際のポイントとは何でしょう? とある会社のISMS推進チームメンバー、「みならい君」と一緒に学んでみましょう。
ISMSの改訂作業
今回のISO/IEC27001の改訂作業には、どのくらいの期間がかかったのですか?
みならい君、それは外部研修で学んだじゃない! 2008年の10月から2013年の10月までの5年間よ!
ステップ | 時期 |
---|---|
NWIP(新規作業項目提案) | 2008年10月 第37回SC27/WG1会議(キプロス):改訂に着手 |
WD(作業原案) | 2009年5月 第38回SC27/WG1会議(北京):WD1の作成決定 2009年11月 第39回SC27/WG1会議(レドモンド):WD2の作成決定 2010年4月 第40回SC27/WG1会議(マラッカ):WD3の作成決定 2010年10月 第41回SC27/WG1会議(ベルリン):WD3の作成決定 |
CD(委員会原案) | 2011年4月 第42回SC27/WG1会議(シンガポール):CD1の作成決定 2011年10月 第43回SC27/WG1会議(ナイロビ):CD2の作成決定 2012年5月 第43回SC27/WG1会議(ストックホルム):CD3の作成決定 |
DIS(国際規格案) | 2012年10月 第45回SC27/WG1会議(ローマ):DISの作成決定 2012年11月 DIS(国際規格案)の発行 |
DFIS(最終国際規格案) | 2013年4月 第46回SC27/WG1会議(ソフィアアンティポリス):FDISの作成決定 2013年7月 FDIS(最終国際規格案)の発行 2013年9月 FDIS(最終国際規格案)の投票締め切り |
IS(国際規格) | 2013年10月 ISO/IEC27001:2013発行 |
表1 ISO/IEC27001の改訂作業 |
ISO規格は、新規格の開発でも既存の規格の改訂でも、必ず新規作業法目提案(NWIP)が提出され、3カ月の投票が行われるんだよ。その後12カ月をめどに作業原案(Working Draft)が作成され、24カ月をめどに委員会原案(Committee Draft)が作成される。最終的に、国際規格案(Draft International Standard)に基づき、3カ月の投票が行われるんだ。
投票の際に、何か条件はあるのですか?
うん、3分の2以上の賛成を得て、かつ反対が投票総数の4分の1以下にとどまっていることが条件なんだよ。その後、最終国際規格案(Final Draft International Standard)が作成された後、3カ月の投票が行われ、国際規格(International Standard)として発行されるんだよ。
そ〜か〜。そんなに長い期間をかけて、改訂作業が行われるのですね。
その間にはいろいろな事項が各国から提案され、審議されるんだよ。
今回は、どんなことが審議されたんですか?
例えば、ある国からは「附属書Aの内容をITセキュリティに関連する内容だけにしたらよいのでは」という意見が出されたんだよ。
私も違和感がありました。リスク管理策の中に、方針や体制に関する管理策が含まれていることが……。
また、別のある国からは「附属書Aをなくすべきである」という大胆な意見が出されたんだよ。
へ〜。
それにはちゃんとした意図があったんだよ。現在のISMS構築組織が、附属書Aをリスクアセスメントのツールとして用い、附属書Aありきの管理策を実装していることを問題視した発言だったんだよ。
どういうことですか?
リスクアセスメントは、あくまでも組織の情報(資産)について実施すべきものだよね。附属書Aは、あくまでも管理策の抜け、漏れを防ぐためのチェックリストとして用いることを意図しているからね。
でも最終的には、附属書Aはなくならなかったのですね。
うん。でもその意図は、新規格(ISO/IEC27001:2013)のリスクアセスメントの規格要求事項で明確に言及されているよ。
気が付きませんでした……もう一度よく勉強し直します。
うん、そうだね、次回のミーティングでは、その辺を明確にしていこう!
ISMS改訂対応のステップ
それでは、最後にISMS改訂対応のステップを整理しようか? なおこさん、お願いできるかな?
はい、私の理解ですと、
- ISMS改訂の意図や背景を理解すること
- 規格要求事項の変更点や追加点を理解し、既存の基本規程を見直すこと
- 追加、削除、変更された附属書Aの管理目的と管理策に基づき、既存のリスクアセスメント結果や情報セキュリティ管理策を見直すこと
- 移行審査の計画を立て、受審すること
だと思っていますが、いかがでしょうか?
うん、よく理解できているね!
なるほど、本日のミーティングが“1. ISMS改訂の意図や背景を理解すること”に当たるんですね!
連載第2回では、規格要求事項の変更点や追加点を解説します。お楽しみに!
打川和男(うちかわ かずお)
株式会社アイテクノ 常務取締役 コンサルティング事業本部 本部長 ISMS上席コンサルタント
ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISO14001、ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。
2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」の著者であり、ISO関連の著書は20冊を超える。
本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp
Copyright © ITmedia, Inc. All Rights Reserved.