ISO27001
ISO 27001:2013の発行について
ISO27001の最新版が2013年10月1日に発行されました。今回の改訂は初版が2005年に発行されて以来、初の改訂となります。今回の改訂の概要と、2013年版への移行スケジュールについてお知らせ致します。
改訂の概要
2013年では以下の3つの点において大幅に改訂されました。
1.マネジメントシステム規格の構成の変更
マネジメントシステム規格の構成(章立て)について、ISO27001:2013はISO/IEC指令に合わせた形となりました(ISO/IEC指令のAnnex SL~Part1)。新版は10の条項で構成されています。他の全てのISOマネジメントシステム規格(ISO9001や14001等)も次回の改訂でこの構成が踏襲され、ISO/IEC指令に準拠した形で再発行される予定です。複数のマネジメントシステムを構築し、運用されている組織にとって統合されたシステム構築及び運用がよりスムーズになるでしょう。
2.リスクアセスメントの方法の変更
ISO27001:2013はISO31000(リスクマネジメント-原則及び指針)と整合性がとられています。リスクアセスメントの方法は、ISO27001:2005におけるリスクアセスメントの要求事項よりも定義が広くなっています。例えば、2005年版で要求されていた情報資産に該当する脅威と脆弱性の視点をリスクアセスメントの中で取り上げることを2013年版では要求されていません。新たな要求事項では、ISMSの適用範囲にある情報に関して、機密性、完全性、可用性の喪失に伴うリスクを明確にすることが求められています。リスクをベースにした他のISOマネジメントシステム規格もISO31000と整合性がとられるため、組織は共通したリスクアセスメントの手法をとることができるようになります。
3.付属書A管理策と管理目的の構成の変更
ISO 27001:2013でも、附属書A(管理策と管理目的)は適用宣言書を作成するという要求事項とともにそのまま残されています。しかし、管理策数の数が133から114に減りました。管理策グループの数が11から14に変更されました。新たな管理策グループは、
A.5 「情報セキュリティのための方針群」
A.6 「情報セキュリティのための組織」
A.7 「人的資源のセキュリティ」
A.8 「資産の管理」
A.9 「アクセス制御」
A.10 「暗号」
A.11 「物理的及び環境的セキュリティ」
A.12 「運用のセキュリティ」
A.13 「通信のセキュリティ」
A.14 「システムの取得、開発及び保守」
A.15 「供給者関係」
A.16 「情報セキュリティインシデント管理」
A.17 「事業継続マネジメント情報セキュリティの側面」
A.18 「順守」
と言う構成になっています。
A.5 「情報セキュリティのための方針群」
A.6 「情報セキュリティのための組織」
A.7 「人的資源のセキュリティ」
A.8 「資産の管理」
A.9 「アクセス制御」
A.10 「暗号」
A.11 「物理的及び環境的セキュリティ」
A.12 「運用のセキュリティ」
A.13 「通信のセキュリティ」
A.14 「システムの取得、開発及び保守」
A.15 「供給者関係」
A.16 「情報セキュリティインシデント管理」
A.17 「事業継続マネジメント情報セキュリティの側面」
A.18 「順守」
と言う構成になっています。
移行手続き
1.ISO27001:2005認証済みの組織の場合ISO27001:2005認証組織は追加費用の負担なく移行することが出来ます。定期的に実施される維持審査もしくは再認証(更新)審査の一部として移行審査を実施します。(ただし、定期的な維持審査もしくは更新審査の時期を待たずに移行審査をご希望される場合、別途費用がかかる可能性があります。詳細は弊社担当者までにお問い合わせ下さいませ。)
尚、移行の期間は2年間です。ISO27001:2005認証組織は、2015年9月30日までに移行を完了する必要があります。
2.これから認証申請をされる組織の場合
2005版で申請される場合は、2014年6月30日までに認証を完了する必要がございます。2013版への移行は認証後の第1回目の維持審査の中で行なう必要があります。これはステージ2から1年以内に完了させなければなりません。つまり2015年6月30日が期限となります。
2014年3月31日まではISO27001:2005の認証申請を受け付けます。
情報セキュリティマネジメントシステム(ISMS)の運用をまだ始めていない組織、あるいは運用の初期段階である組織は、ISO 27001:2013版を購入し新版の要求事項にしたがってISMSを運用することを推奨します。NQAはステージ1の前にギャップ分析審査を行なっています。これはステージ1、ステージ2の審査に追加して行なわれるものです。ギャップ分析審査をご希望の場合は、弊社営業担当までご連絡ください。
2014年3月31日まではISO27001:2005の認証申請を受け付けます。
情報セキュリティマネジメントシステム(ISMS)の運用をまだ始めていない組織、あるいは運用の初期段階である組織は、ISO 27001:2013版を購入し新版の要求事項にしたがってISMSを運用することを推奨します。NQAはステージ1の前にギャップ分析審査を行なっています。これはステージ1、ステージ2の審査に追加して行なわれるものです。ギャップ分析審査をご希望の場合は、弊社営業担当までご連絡ください。
UKASからの認定と2013年版での登録証の発行
UKASによるISO27001:2013に対する認定は2014年1月1日からスタートする予定です。従ってUKASからの認定手続きが完了するまでは、UKASマーク付の登録証が発行されません。この場合、NQAマークのみの登録証が発行されますが、UKASからの認定手続きが完了次第、UKASマーク付の登録証への切り替えを致します。UKASからの認定手続きにつきましては完了次第、皆様にお知らせ致します。
本件に関しましてご不明な点などございましたら、株式会社NQA-Japanまでお問い合わせ下さいませ。
本件に関しましてご不明な点などございましたら、株式会社NQA-Japanまでお問い合わせ下さいませ。
Outline
IT
技術の発達により、誰もが自由に様々な情報を入手できる社会になった昨今、組織(企業)が直面する情報漏えいを含む情報セキュリティ上のリスクは大変高くなっています。一方で情報は、人・モノ・金といった経営資源の一部とも言われ、その価値は非常に大きくなり、情報漏えいをはじめとする事故・被害は組織(企業)にとっても看過することのできない状況になりつつあります。さらには個人情報保護法の施行により、個人情報やプライバシーに対する関心は高まってきています。事故・被害が発生してから事後的に対応するのでは組織(企業)の存続そのものを危ういものにしかねません。従って組織(企業)は保有する情報に関する事故・被害から守るためのマネジメントが必要となります。ISO27001:2005は、組織(企業)に対して、保有する情報を様々な脅威から保護し、事業継続性を確実にし、また、事業の損害を最小限におさえるためのマネジメントシステムを提供します。組織(企業)は情報セキュリティマネジメントの導入によって、自らの情報資産を明確にし、最適なセキュリティを構築することで情報セキュリティに対するリスクを回避することができます。
Character
ISO27001規格要求事項は、組織(企業)が情報セキュリティマネジメントシステムを導入・構築し、運用し、改善していく際、プロセスアプローチという考え方を採用しています。情報セキュリティに関連するプロセスを明確にしてプロセス毎に投下すべき資源、人的、技術的、設備的、手段的等といった側面からの適切な管理をすること、さらに各プロセス間及びプロセス全体でのマネジメントの最適化を図ることで、情報に関連する事故・被害の予防に繋がります。また、ISO27001は情報セキュリティを確実に行うために具体的な管理策を体系的に提供していることも特徴の一つです。
Benefit
ISO27001を導入・構築し、運用、改善をしていくこと、及び認証機関(第三者機関)からの認証を受けることにより、以下のようなメリットが生まれます。
・ 情報に関連する事故・被害からのリスクヘッジ
・ 競合他社(他組織)に対する優位性
・ マネジメントサイクル(PDCA)の実行、定着
・ 情報セキュリティ投資の最適化
・ 情報に関連する事故・被害からのリスクヘッジ
・ 競合他社(他組織)に対する優位性
・ マネジメントサイクル(PDCA)の実行、定着
・ 情報セキュリティ投資の最適化