連載
» 2014年09月24日 18時00分 UPDATE

みならい君のISMS改訂対応物語(3):情報セキュリティマネジメントの改訂ポイント (1/4)

ハイレベルストラクチャーで追加された要求事項は? みならい君と一緒に「規格要求事項」の変化を学ぼう。

[打川和男,@IT]
「みならい君のISMS改訂対応物語」のインデックス

連載目次

 この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMS仕組みを新規格(ISO/IEC27001:2013)へ対応する作業を行っていく物語です。

 読者の皆様には、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。

 なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。

 第3回目となる今回のテーマは「規格要求事項の変更点や追加点の理解(2)」です。


変更・追加のポイント

さ〜、みんな、そろそろ始めようか?


は〜い、本日もよろしくお願いしま〜す!


みならい君

常務、 今日は残りの、追加、変更された規格要求事項の理解ですね!


そうだね、確認する規格要求事項を整理しようか!


は〜い、前回までで、箇条4と箇条6の「6.1 リスクおよび機会に対処する活動 6.1.1 一般」まで確認しましたので、箇条6の残りの規格要求事項から箇条10の中で、追加、変更された規格要求事項を確認すると理解してます。でも、箇条5は本質的な変更がないと思うのですが……?


そうだね、規定されている要求事項に大きな変更はないのだけれど、特に「5 経営陣の責任(2005年度版)」から、「5 リーダーシップ(2013年版)」に変更されたことは、大きな意図を含んでいるんだよ。ハイレベルストラクチャーのこの箇条は、2005年版以上に、トップマネジメントに対して組織のISMSに“直接的に”携わることを要求しているんだよ。特に、条項5.1で「確実にする」という表現が取り入れられている要求事項(5.1(a)(b)(c)(e))については、トップマネジメントは、実施者を指名し、その実施を委ねることはできるんだけど、「促進する」「伝達する」「支援する」という表現が使われている要求事項(5.1(d)(f)(g)(h))は、トップマネジメント自らが、実施することを意図しているんだよ。


みならい君

へ〜、奥が深い……、それで、トップマネジメントが実証する対象が、「コミットメント」から「リーダーシップとコミットメント」に変更されているんですね! 審査のアプローチも変わるんだろ〜な〜。


常務、ありがとうございました! そうすると、残りの追加、変更された規格要求事項は、箇条6の6.1.2、6.1.3、6.2、箇条7の7.4、箇条8の8.1と箇条10の10.1ですね!


そうだね、箇条6の6.1.2、6.1.3は、ISMS固有の要求事項。それ以外は、ハイレベルストラクチャーの採用によって追加、変更された要求事項だね! 早速、箇条6の6.1.2、6.1.3から確認してみようか。


表1 変更・追加のポイント
ISO/IEC27001:2013の規格要求事項 ISO/IEC27001:2005の規格要求事項 ポイント
4.1 組織およびその状況の理解 なし HLSの採用によって追加
4.2 利害関係者のニーズおよび期待の理解 なし HLSの採用によって追加
4.3 ISMSの適用範囲の決定 4.2 ISMS の確立および運営管理
 4.2.1 ISMS の確立 a)
HLSの採用によって一部変更
4.4 情報セキュリティマネジメントシステム 4.1 一般要求事項 本質的な変更なし
5.1 リーダーシップおよびコミットメント 5 経営陣の責任
 5.1 経営陣のコミットメント
HLSの採用によって一部変更
5.2 方針 4.2 ISMSの確立および運営管理
 4.2.1 ISMSの確立 b)
本質的な変更なし
5.3 組織の役割、責任および権限 5 経営陣の責任
 5.1 経営陣のコミットメント c)
本質的な変更なし
6.1 リスクおよび機会への取り組み  6.1.1 一般 なし HLSの採用によって追加
6.1 リスクおよび機会への取り組み
 6.1.2 情報セキュリティリスクアセスメント
4.2 ISMSの確立および運営管理
 4.2.1 ISMSの確立 a) 〜e)
要求事項の一部変更
6.1 リスクおよび機会への取り組み
 6.1.3 情報セキュリティリスク対応
4.2 ISMSの確立および運営管理
 4.2.1 ISMSの確立 f) 〜j)
要求事項の一部変更
6.2 情報セキュリティ目的およびそれを達成するための計画策定 なし HLSの採用によって追加
7.1 資源 5.2 経営資源の運用管理
 5.2.1 経営資源の提供
本質的な変更なし
7.2 力量 5.2 経営資源の運用管理
 5.2.2 教育・訓練、意識向上および力量
本質的な変更なし
7.3 認識 5.2 経営資源の運用管理
 5.2.2 教育・訓練、意識向上および力量
本質的な変更なし
7.4 コミュニケーション なし HLSの採用によって追加
7.5 文書化された情報 4.3 文書化に関する要求事項 本質的な変更なし
8.1 運用の計画および管理 4.2.2 ISMSの導入および運用 HLSの採用によって一部変更
8.2 情報セキュリティリスクアセスメント 4.2 ISMSの確立および運営管理
 4.2.1 ISMSの確立 a) 〜e)
本質的な変更なし
8.3 情報セキュリティリスク対応 4.2 ISMSの確立および運営管理
 4.2.1 ISMSの確立 f) 〜j)
本質的な変更なし
9.1 監視、測定、分析および評価 4.2.3 ISMS の監視およびレビュー HLSの採用によって一部変更
9.2 内部監査 6 ISMS内部監査 本質的な変更なし
9.3 マネジメントレビュー 7 ISMSのマネジメントレビュー 本質的な変更なし
10.1 不適合および是正処置 8.2 是正処置 HLSの採用によって一部変更
10.2 継続的改善 8.1 継続的改善 本質的な変更なし
       1|2|3|4 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。