検索
連載

情報セキュリティマネジメントの改訂ポイントみならい君のISMS改訂対応物語(3)(4/4 ページ)

ハイレベルストラクチャーで追加された要求事項は? みならい君と一緒に「規格要求事項」の変化を学ぼう。

Share
Tweet
LINE
Hatena
前のページへ |       

是正処置に関する変更のポイント

はい!(1)修正処置の明確化、(2)不適合の発生確認の水平展開、(3)記録の明確化ですね!


みならい君

なおこ先輩、すご〜い!


表4 是正処置に関する要求事項のポイント
  ISO/IEC27001:2005 ISO/IEC27001:2013
修正処置 a) その不適合に対処し、該当する場合には、必ず、次の事項を行う
1) その不適合を管理し、修正するための処置をとる
2) その不適合によって起こった結果に対処する
是正処置 a) 不適合の特定
b) 不適合の原因の決定
c) 不適合の再発防止を確実にするための処置の必要性の評価		 b) その不適合が再発または他のところで発生させないため、次の事項によって、その不適合の原因を除去するための処置をとる必要性を評価する
1) その不適合をレビューする
2) その不適合の原因を明確にする
3) 類似の不適合の有無、またはそれが発生する可能性を明確にする
d) 必要な是正処置の決定および実施 c) 必要な処置を実施する
f) とった是正処置のレビュー d) とったすべての是正処置の有効性をレビューする
e) 必要な場合には、ISMS の変更を行う
e) とった処置の結果の記録(4.3.3 参照) 是正処置は、検出された不適合の持つ影響に応じたものでなければならない
組織は、次に示す事項の証拠として、文書化した情報を保持しなければならない
f) 不適合の性質およびとった処置
g) 是正処置の結果

そうだね、前規格でも実施することが意図されていた、修正処置(不適合を除去する処置)が明確に規定されたことだね、それじゃあみならい君、修正処置と是正処置の違いは?


みならい君

はい、常務! 任せてください! 修正処置は、発生した“不適合”そのものを除去する処置、すなわち、あくまでも暫定処置であって、是正処置は、発生した“不適合の原因”を除去する処置、すなわち、再発防止策のことを指します!


よく理解できているね! また今回の改訂では、記録を維持する(文書化した情報を保持する)対象が明確になり、いまみならい君が言った、修正処置の結果(10.1(f))と是正処置の結果(10.1(g))を記録すると明確になったんだよ!


常務! 是正処置の核となるプロセスでも、「類似の不適合の有無,またはそれが発生する可能性を明確にする(10.1(b)3)」が追加されていますが、予防処置のことを指しているんでしょうか?


う〜ん、潜在的な不適合の特定だから、狭い範囲の予防処置とは言えないこともないけど、これはあくまでも是正処置の水平展開の範囲だね、あくまでも、予防処置の考え方は、前回のミーティングでも話したように、「6.1.1 一般」のリスクおよび機会への対応で特定される、“マネジメント(ISMS)”に関するリスクマネジメントが、旧規格の予防処置にあたるんだよ!


ありがとうございます! 何かすっきりしました!


みならい君

これで、規格本文の要求事項の変更は終わりですよね?


うん、そうだね、次回のミーティングでは、附属書Aの管理策の変更点を明確にしていこう!


みならい君

は〜い!


 次の連載では、附属書Aの管理目的および管理策の変更点や追加点を解説します。お楽しみに!


ISMS改訂対応のステップ
「みならい君のISMS改訂対応物語」バックナンバー

打川和男(うちかわ かずお)

株式会社アイテクノ 常務取締役 コンサルティング事業本部 本部長 ISMS上席コンサルタント

ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISO14001、ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。

2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」の著者であり、ISO関連の著書は20冊を超える。

本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  7. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る