ISO/IEC 27001 改正対応のポイント(要求事項編)
皆さん、こんにちは。
(株)マネジメント総研の小山です。
先日、ISMS(情報セキュリティマネジメントシステム)の認証基準である「ISO/IEC 27001」が改正されました。
要求事項が記載された本編の構成は「8章」から「10章」に、管理策が記載された附属書Aは「11分野、39目的、133項目」から「14分野、35目的、114項目」に、それぞれ変わりました。
既にISMS認証を取得し運用されている組織におかれましては、どう対応すれば良いか、検討されていることと思います。
そこで今回は、「ISO/IEC 27001 改正対応のポイント(要求事項編)」と題して、本編の変更部分にスポットを当てて、お話したいと思います。
まず、多くの組織において追加で整理が必要と考えられる要求事項として、「4.組織の状況」が挙げられます。
2005年版では、「4.2.1 ISMSの確立」にて、以下のようなことが要求されていましたが、
・ISMSの適用範囲及び境界について、適用範囲からの除外の
詳細と理由を含めて定義すること
・ISMS基本方針の定義について、事業上及び法令又は規制の
要求事項、契約上のセキュリティ義務を考慮すること
・同じく、組織の戦略的なリスクマネジメントの状況と
調和をとること
2013年版では、「4.1 組織及びその状況の理解」にて、外部及び内部の課題を明らかにすることが求められ、
「4.2 利害関係者のニーズ及び期待の理解」にて、利害関係者(interested parties)とそのセキュリティ要求事項を明らかにすることが求められ、
これらをもとに、「4.3 ISMSの適用範囲の決定」にて、ISMSの適用範囲を決定することが求められています。
また、「9.3 マネジメントレビュー」においても、ISMSに関連する外部及び内部の課題の変化を考慮することが明確に要求されるようになりました。
序文にも“ISMSを、組織のプロセス及びマネジメント構造全体の一部として、かつ、その中に組み込むこと”の重要性が述べられており、組織における事業とマネジメントシステムの一体化が求められていることが伺えます。
単に「ISO認証」の取得・維持のため、ということではなく、組織にとってどのような範囲で取組むべきかを整理すること、また、組織における内外の課題と向き合い、マネジメントシステムを通じて改善に取組んでいくことが求められていると捉えることができると思います。
続いて、簡素化された要求事項としては、「6.計画」が挙げられます。
2005年版では、「4.2.1 ISMSの確立」にて、以下の事項が要求されていましたが、
・資産に対する“脅威”の特定
・それらの脅威がつけ込むかもしれない“脆弱性”の特定
・機密性・完全性・可用性の喪失が資産に及ぼす影響の特定
2013年版では、「6.1.2 情報セキュリティリスクアセスメント」にて、“脅威”“脆弱性”という用語が姿を消しました。
このことにより、従来のやり方から変更しないといけない、というわけではありません。
やり方のガイドには「ISO 27005(情報セキュリティリスクマネジメント)」という規格があるので、そちらを参考にすればよい、ということで簡素化されたものと思われます。
(「ISO 27001:2013」の参考文献に「ISO 27005」が記載されています)
(「ISO 27005」では“脅威”“脆弱性”を特定するリスクアセスメントの手法が記載されています)
ただ、要求事項として明示されなくなったので、“脅威”“脆弱性”に触れない方法で、一貫性及び妥当性があり、かつ、比較可能な結果を確実に出せるのであれば、不適合にはならないとも考えられます。
以上、新旧の過不足について、それぞれ代表的な部分を1つ挙げて解説させていただきました。
最後に、「マニュアルの章立てはどうすべきか?」ですが、
2005年版からそうですが、“マニュアルを作成しなければならない”という要求事項はありませんので、規格の要求事項を全て規定として、文書化する必要はありません。
「ISMSの適用範囲」「情報セキュリティ方針」「情報セキュリティリスクアセスメントのプロセス」「情報セキュリティリスク対応のプロセス」など、明示的に文書化が要求されている事項を満たしていれば、ISMS文書は、どんな章立てでも、何冊に分かれていても構いません。
しかしながら、章立て通りのマニュアルを作られている組織や、規格の文章表現をそのまま規定に落とし込まれている組織も多いことと思います。
それには、規格対応がわかりやすいなどのメリットがあるわけですが、すでに運用を重ねられた組織にとってはそのメリットよりも、章立てや表現そのものがわかりにくいというデメリットの方が目立ってきているものと思われます。
そこで、この改正対応を機に、自分たちにとってわかりやすく、かつ、使いやすいように、整理されることをオススメいたします。
認証維持が目的ではなく、効果を出すことが目的であるはずですから。
ということで、今回はISO/IEC 27001 改正対応のポイントについて、要求事項の変更点に着目し、お話しさせていただきました。
次回は、管理策にスポットを当ててお話したいと思います。
(株)マネジメント総研の小山です。
先日、ISMS(情報セキュリティマネジメントシステム)の認証基準である「ISO/IEC 27001」が改正されました。
要求事項が記載された本編の構成は「8章」から「10章」に、管理策が記載された附属書Aは「11分野、39目的、133項目」から「14分野、35目的、114項目」に、それぞれ変わりました。
既にISMS認証を取得し運用されている組織におかれましては、どう対応すれば良いか、検討されていることと思います。
そこで今回は、「ISO/IEC 27001 改正対応のポイント(要求事項編)」と題して、本編の変更部分にスポットを当てて、お話したいと思います。
まず、多くの組織において追加で整理が必要と考えられる要求事項として、「4.組織の状況」が挙げられます。
2005年版では、「4.2.1 ISMSの確立」にて、以下のようなことが要求されていましたが、
・ISMSの適用範囲及び境界について、適用範囲からの除外の
詳細と理由を含めて定義すること
・ISMS基本方針の定義について、事業上及び法令又は規制の
要求事項、契約上のセキュリティ義務を考慮すること
・同じく、組織の戦略的なリスクマネジメントの状況と
調和をとること
2013年版では、「4.1 組織及びその状況の理解」にて、外部及び内部の課題を明らかにすることが求められ、
「4.2 利害関係者のニーズ及び期待の理解」にて、利害関係者(interested parties)とそのセキュリティ要求事項を明らかにすることが求められ、
これらをもとに、「4.3 ISMSの適用範囲の決定」にて、ISMSの適用範囲を決定することが求められています。
また、「9.3 マネジメントレビュー」においても、ISMSに関連する外部及び内部の課題の変化を考慮することが明確に要求されるようになりました。
序文にも“ISMSを、組織のプロセス及びマネジメント構造全体の一部として、かつ、その中に組み込むこと”の重要性が述べられており、組織における事業とマネジメントシステムの一体化が求められていることが伺えます。
単に「ISO認証」の取得・維持のため、ということではなく、組織にとってどのような範囲で取組むべきかを整理すること、また、組織における内外の課題と向き合い、マネジメントシステムを通じて改善に取組んでいくことが求められていると捉えることができると思います。
続いて、簡素化された要求事項としては、「6.計画」が挙げられます。
2005年版では、「4.2.1 ISMSの確立」にて、以下の事項が要求されていましたが、
・資産に対する“脅威”の特定
・それらの脅威がつけ込むかもしれない“脆弱性”の特定
・機密性・完全性・可用性の喪失が資産に及ぼす影響の特定
2013年版では、「6.1.2 情報セキュリティリスクアセスメント」にて、“脅威”“脆弱性”という用語が姿を消しました。
このことにより、従来のやり方から変更しないといけない、というわけではありません。
やり方のガイドには「ISO 27005(情報セキュリティリスクマネジメント)」という規格があるので、そちらを参考にすればよい、ということで簡素化されたものと思われます。
(「ISO 27001:2013」の参考文献に「ISO 27005」が記載されています)
(「ISO 27005」では“脅威”“脆弱性”を特定するリスクアセスメントの手法が記載されています)
ただ、要求事項として明示されなくなったので、“脅威”“脆弱性”に触れない方法で、一貫性及び妥当性があり、かつ、比較可能な結果を確実に出せるのであれば、不適合にはならないとも考えられます。
以上、新旧の過不足について、それぞれ代表的な部分を1つ挙げて解説させていただきました。
最後に、「マニュアルの章立てはどうすべきか?」ですが、
2005年版からそうですが、“マニュアルを作成しなければならない”という要求事項はありませんので、規格の要求事項を全て規定として、文書化する必要はありません。
「ISMSの適用範囲」「情報セキュリティ方針」「情報セキュリティリスクアセスメントのプロセス」「情報セキュリティリスク対応のプロセス」など、明示的に文書化が要求されている事項を満たしていれば、ISMS文書は、どんな章立てでも、何冊に分かれていても構いません。
しかしながら、章立て通りのマニュアルを作られている組織や、規格の文章表現をそのまま規定に落とし込まれている組織も多いことと思います。
それには、規格対応がわかりやすいなどのメリットがあるわけですが、すでに運用を重ねられた組織にとってはそのメリットよりも、章立てや表現そのものがわかりにくいというデメリットの方が目立ってきているものと思われます。
そこで、この改正対応を機に、自分たちにとってわかりやすく、かつ、使いやすいように、整理されることをオススメいたします。
認証維持が目的ではなく、効果を出すことが目的であるはずですから。
ということで、今回はISO/IEC 27001 改正対応のポイントについて、要求事項の変更点に着目し、お話しさせていただきました。
次回は、管理策にスポットを当ててお話したいと思います。