検索
連載

情報セキュリティマネジメントの改訂ポイントみならい君のISMS改訂対応物語(3)(1/4 ページ)

ハイレベルストラクチャーで追加された要求事項は? みならい君と一緒に「規格要求事項」の変化を学ぼう。

Share
Tweet
LINE
Hatena
「みならい君のISMS改訂対応物語」のインデックス

連載目次

 この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMS仕組みを新規格(ISO/IEC27001:2013)へ対応する作業を行っていく物語です。

 読者の皆様には、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。

 なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。

 第3回目となる今回のテーマは「規格要求事項の変更点や追加点の理解(2)」です。


変更・追加のポイント

さ〜、みんな、そろそろ始めようか?


は〜い、本日もよろしくお願いしま〜す!


みならい君

常務、 今日は残りの、追加、変更された規格要求事項の理解ですね!


そうだね、確認する規格要求事項を整理しようか!


は〜い、前回までで、箇条4と箇条6の「6.1 リスクおよび機会に対処する活動 6.1.1 一般」まで確認しましたので、箇条6の残りの規格要求事項から箇条10の中で、追加、変更された規格要求事項を確認すると理解してます。でも、箇条5は本質的な変更がないと思うのですが……?


そうだね、規定されている要求事項に大きな変更はないのだけれど、特に「5 経営陣の責任(2005年度版)」から、「5 リーダーシップ(2013年版)」に変更されたことは、大きな意図を含んでいるんだよ。ハイレベルストラクチャーのこの箇条は、2005年版以上に、トップマネジメントに対して組織のISMSに“直接的に”携わることを要求しているんだよ。特に、条項5.1で「確実にする」という表現が取り入れられている要求事項(5.1(a)(b)(c)(e))については、トップマネジメントは、実施者を指名し、その実施を委ねることはできるんだけど、「促進する」「伝達する」「支援する」という表現が使われている要求事項(5.1(d)(f)(g)(h))は、トップマネジメント自らが、実施することを意図しているんだよ。


みならい君

へ〜、奥が深い……、それで、トップマネジメントが実証する対象が、「コミットメント」から「リーダーシップとコミットメント」に変更されているんですね! 審査のアプローチも変わるんだろ〜な〜。


常務、ありがとうございました! そうすると、残りの追加、変更された規格要求事項は、箇条6の6.1.2、6.1.3、6.2、箇条7の7.4、箇条8の8.1と箇条10の10.1ですね!


そうだね、箇条6の6.1.2、6.1.3は、ISMS固有の要求事項。それ以外は、ハイレベルストラクチャーの採用によって追加、変更された要求事項だね! 早速、箇条6の6.1.2、6.1.3から確認してみようか。


表1 変更・追加のポイント
ISO/IEC27001:2013の規格要求事項 ISO/IEC27001:2005の規格要求事項 ポイント
4.1 組織およびその状況の理解 なし HLSの採用によって追加
4.2 利害関係者のニーズおよび期待の理解 なし HLSの採用によって追加
4.3 ISMSの適用範囲の決定 4.2 ISMS の確立および運営管理
 4.2.1 ISMS の確立 a)
HLSの採用によって一部変更
4.4 情報セキュリティマネジメントシステム 4.1 一般要求事項 本質的な変更なし
5.1 リーダーシップおよびコミットメント 5 経営陣の責任
 5.1 経営陣のコミットメント
HLSの採用によって一部変更
5.2 方針 4.2 ISMSの確立および運営管理
 4.2.1 ISMSの確立 b)
本質的な変更なし
5.3 組織の役割、責任および権限 5 経営陣の責任
 5.1 経営陣のコミットメント c)
本質的な変更なし
6.1 リスクおよび機会への取り組み  6.1.1 一般 なし HLSの採用によって追加
6.1 リスクおよび機会への取り組み
 6.1.2 情報セキュリティリスクアセスメント
4.2 ISMSの確立および運営管理
 4.2.1 ISMSの確立 a) 〜e)
要求事項の一部変更
6.1 リスクおよび機会への取り組み
 6.1.3 情報セキュリティリスク対応
4.2 ISMSの確立および運営管理
 4.2.1 ISMSの確立 f) 〜j)
要求事項の一部変更
6.2 情報セキュリティ目的およびそれを達成するための計画策定 なし HLSの採用によって追加
7.1 資源 5.2 経営資源の運用管理
 5.2.1 経営資源の提供
本質的な変更なし
7.2 力量 5.2 経営資源の運用管理
 5.2.2 教育・訓練、意識向上および力量
本質的な変更なし
7.3 認識 5.2 経営資源の運用管理
 5.2.2 教育・訓練、意識向上および力量
本質的な変更なし
7.4 コミュニケーション なし HLSの採用によって追加
7.5 文書化された情報 4.3 文書化に関する要求事項 本質的な変更なし
8.1 運用の計画および管理 4.2.2 ISMSの導入および運用 HLSの採用によって一部変更
8.2 情報セキュリティリスクアセスメント 4.2 ISMSの確立および運営管理
 4.2.1 ISMSの確立 a) 〜e)
本質的な変更なし
8.3 情報セキュリティリスク対応 4.2 ISMSの確立および運営管理
 4.2.1 ISMSの確立 f) 〜j)
本質的な変更なし
9.1 監視、測定、分析および評価 4.2.3 ISMS の監視およびレビュー HLSの採用によって一部変更
9.2 内部監査 6 ISMS内部監査 本質的な変更なし
9.3 マネジメントレビュー 7 ISMSのマネジメントレビュー 本質的な変更なし
10.1 不適合および是正処置 8.2 是正処置 HLSの採用によって一部変更
10.2 継続的改善 8.1 継続的改善 本質的な変更なし

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  6. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  7. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  8. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  9. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る