情報セキュリティマネジメントの改訂ポイント:みならい君のISMS改訂対応物語(3)(1/4 ページ)
ハイレベルストラクチャーで追加された要求事項は? みならい君と一緒に「規格要求事項」の変化を学ぼう。
この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMS仕組みを新規格(ISO/IEC27001:2013)へ対応する作業を行っていく物語です。
読者の皆様には、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。
なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。
第3回目となる今回のテーマは「規格要求事項の変更点や追加点の理解(2)」です。
変更・追加のポイント
さ〜、みんな、そろそろ始めようか?
は〜い、本日もよろしくお願いしま〜す!
常務、 今日は残りの、追加、変更された規格要求事項の理解ですね!
そうだね、確認する規格要求事項を整理しようか!
は〜い、前回までで、箇条4と箇条6の「6.1 リスクおよび機会に対処する活動 6.1.1 一般」まで確認しましたので、箇条6の残りの規格要求事項から箇条10の中で、追加、変更された規格要求事項を確認すると理解してます。でも、箇条5は本質的な変更がないと思うのですが……?
そうだね、規定されている要求事項に大きな変更はないのだけれど、特に「5 経営陣の責任(2005年度版)」から、「5 リーダーシップ(2013年版)」に変更されたことは、大きな意図を含んでいるんだよ。ハイレベルストラクチャーのこの箇条は、2005年版以上に、トップマネジメントに対して組織のISMSに“直接的に”携わることを要求しているんだよ。特に、条項5.1で「確実にする」という表現が取り入れられている要求事項(5.1(a)(b)(c)(e))については、トップマネジメントは、実施者を指名し、その実施を委ねることはできるんだけど、「促進する」「伝達する」「支援する」という表現が使われている要求事項(5.1(d)(f)(g)(h))は、トップマネジメント自らが、実施することを意図しているんだよ。
へ〜、奥が深い……、それで、トップマネジメントが実証する対象が、「コミットメント」から「リーダーシップとコミットメント」に変更されているんですね! 審査のアプローチも変わるんだろ〜な〜。
常務、ありがとうございました! そうすると、残りの追加、変更された規格要求事項は、箇条6の6.1.2、6.1.3、6.2、箇条7の7.4、箇条8の8.1と箇条10の10.1ですね!
そうだね、箇条6の6.1.2、6.1.3は、ISMS固有の要求事項。それ以外は、ハイレベルストラクチャーの採用によって追加、変更された要求事項だね! 早速、箇条6の6.1.2、6.1.3から確認してみようか。
| ISO/IEC27001:2013の規格要求事項 | ISO/IEC27001:2005の規格要求事項 | ポイント | |
|---|---|---|---|
| 4.1 組織およびその状況の理解 | なし | HLSの採用によって追加 | |
| 4.2 利害関係者のニーズおよび期待の理解 | なし | HLSの採用によって追加 | |
| 4.3 ISMSの適用範囲の決定 | 4.2 ISMS の確立および運営管理 4.2.1 ISMS の確立 a) |
HLSの採用によって一部変更 | |
| 4.4 情報セキュリティマネジメントシステム | 4.1 一般要求事項 | 本質的な変更なし | |
| 5.1 リーダーシップおよびコミットメント | 5 経営陣の責任 5.1 経営陣のコミットメント |
HLSの採用によって一部変更 | |
| 5.2 方針 | 4.2 ISMSの確立および運営管理 4.2.1 ISMSの確立 b) |
本質的な変更なし | |
| 5.3 組織の役割、責任および権限 | 5 経営陣の責任 5.1 経営陣のコミットメント c) |
本質的な変更なし | |
| 6.1 リスクおよび機会への取り組み 6.1.1 一般 | なし | HLSの採用によって追加 | |
| 6.1 リスクおよび機会への取り組み 6.1.2 情報セキュリティリスクアセスメント |
4.2 ISMSの確立および運営管理 4.2.1 ISMSの確立 a) 〜e) |
要求事項の一部変更 | |
| 6.1 リスクおよび機会への取り組み 6.1.3 情報セキュリティリスク対応 |
4.2 ISMSの確立および運営管理 4.2.1 ISMSの確立 f) 〜j) |
要求事項の一部変更 | |
| 6.2 情報セキュリティ目的およびそれを達成するための計画策定 | なし | HLSの採用によって追加 | |
| 7.1 資源 | 5.2 経営資源の運用管理 5.2.1 経営資源の提供 |
本質的な変更なし | |
| 7.2 力量 | 5.2 経営資源の運用管理 5.2.2 教育・訓練、意識向上および力量 |
本質的な変更なし | |
| 7.3 認識 | 5.2 経営資源の運用管理 5.2.2 教育・訓練、意識向上および力量 |
本質的な変更なし | |
| 7.4 コミュニケーション | なし | HLSの採用によって追加 | |
| 7.5 文書化された情報 | 4.3 文書化に関する要求事項 | 本質的な変更なし | |
| 8.1 運用の計画および管理 | 4.2.2 ISMSの導入および運用 | HLSの採用によって一部変更 | |
| 8.2 情報セキュリティリスクアセスメント | 4.2 ISMSの確立および運営管理 4.2.1 ISMSの確立 a) 〜e) |
本質的な変更なし | |
| 8.3 情報セキュリティリスク対応 | 4.2 ISMSの確立および運営管理 4.2.1 ISMSの確立 f) 〜j) |
本質的な変更なし | |
| 9.1 監視、測定、分析および評価 | 4.2.3 ISMS の監視およびレビュー | HLSの採用によって一部変更 | |
| 9.2 内部監査 | 6 ISMS内部監査 | 本質的な変更なし | |
| 9.3 マネジメントレビュー | 7 ISMSのマネジメントレビュー | 本質的な変更なし | |
| 10.1 不適合および是正処置 | 8.2 是正処置 | HLSの採用によって一部変更 | |
| 10.2 継続的改善 | 8.1 継続的改善 | 本質的な変更なし |
Copyright © ITmedia, Inc. All Rights Reserved.