ISO発行・改訂情報

ISO/IEC 27001:2013移行支援

1.ISO27001:2013の発行と移行期間

2013年10月1日に、ISO/IEC 27001:2005 情報セキュティマネジメントシステム-要求事項 の改正版にあたるISO/IEC 27001:2013が発行されました。

一般財団法人日本情報経済社会推進協会(JIPDEC)の発表では、2015年10月1日までにISO27001:2013への移行を完了する必要があります。

ISO27001:2013への移行期間

2013年
2014年
2015年
10
11
12
1
2
3
4
5
6
7
8
9
10
11
12
1
2
3
4
5
6
7
8
9
10
<------------------------ 移行期間24ヶ月(2013年10月1日~2015年10月1日)------------------------>

2.ISO27001:2013の概要

ISO27001:2013は、ISOマネジメントシステムの規格構成の共通化ルール(MSS共通要求事項又はHLSと呼ばれる)を採用して開発され、箇条4~10で構成されています。(※太字赤字箇所が、ISO27001独自の要求事項

ISO/IEC 27001:2013 の構成
0. 序文
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織の状況
 
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
5. リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限
6. 計画
6.1 リスク及び機会への取り組み
   
6.1.1 一般
   
6.1.2 情報セキュリティリスクアセスメント
   
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画
7. 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化された情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化した情報の管理
8. 運用
8.1 運用の計画及び管理
 
8.2 情報セキュリティリスクアセスメント
 
8.3 情報セキュリティリスク対応
9. パフォーマンス評価
9.1 監視、測定、分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10. 改善
10.1 不適合及び是正処置
10.2 継続的改善
附属書A(規定)管理目的及び管理策

ISO27001:2013は、2005年版のISO27001の基本的な取り組みを変更するものではなく、他のISOマネジメントシステムの規格構成の共通化に伴い、全体的に強化・明確化されているのが特徴で、主な改正点は、以下の通りです。

項 目 主な改正点
4 組織の状況
  • 組織の状況や利害関係者のニーズ・期待を考慮して、適用範囲を決定する必要があります。
5 リーダーシップ
  • 経営陣の責任範囲がより明確になり、追加する必要があります。
  • "ISMS基本方針"が"情報セキュリティ方針"、"ISMSの目的"が"情報セキュリティ目的"と用語が変更されました。
6 計画
  • リスクアセスメントの要求事項が、ISO31000(リスクマネジメント-原則及び指針)との整合性により、"資産""脅威""ぜい弱性"の用語がなくなり、より一般的な表現に変更されました。
  • リスク対応で"附属書Aから選択する"から"附属書Aと比較し必要な管理策の見落としがないか検証する"となり、対応漏れ発生の防止を意図した内容に変更されました。
  • 情報セキュリティ目標の設定と実行計画を作成する必要があります。
7 支援
  • 内部/外部とのコミュニケーション方法の明確にする必要があります。
  • "文書""記録"の用語が "文書化した情報"となりました。
8 運用
  • 情報セキュリティ目標の計画、実施、管理方法を見直し、明確にする必要があります。
9 パフォーマンス評価
  • セキュリティパフォーマンスとISMSの有効性の評価方法を見直し、明確にする必要があります。
10 改善
  • 予防処置がなくなりました。ただし、"6.1リスク及び機会への取組み"の中で予防処置に対する取り組みは要求されています。

附属書A(規定)
管理目的及び管理策

  • 管理策が133項目から 追加/統合/削除 され114項目になりました。
    ISO27001:2013で追加された管理策は以下のとおりです。
    A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ
    A.12.6.2 ソフトウェアのインストールの制限
    A.14.2.1 セキュリティに配慮した開発のための方針
    A.14.2.5 セキュリティに配慮したシステム構築の原則
    A.14.2.6 セキュリティに配慮した開発環境
    A.14.2.8 システムセキュリティの試験
    A.15.1.1 供給者関係のための情報セキュリティの方針
    A.16.1.4 情報セキュリティ事象の評価及び決定
    A.16.1.5 情報セキュリティインシデントへの対応
    A.17.2.1 情報処理施設の可用性

3.ISO27001:2013移行への対応準備

ISO 27001:2013で、現行の情報セキュリティマネジメントシステム(ISMS)の基本的な取り組みが大きく変更されることはありませんが、移行に際して以下のような対応が必要となります。

<必須>
  1. ISMSマニュアルと適用宣言書をISO 27001:2013に合わせて全面的に改訂する。
  2. ISO 27001:2013に適合したISMSを運用して、情報セキュリティ目的(目標)の管理、教育訓練、内部監査、マネジメントレビューを実施する。
  3. 現行のセキュリティ対策と附属書Aを比較し、情報セキュリティ関連規定を改訂する。
  4. ISO 27001:2013に合わせてISMSを変更するだけではなく、運用上のムリやムダのないマネジメントシステムにリフォームする。たとえば、リスクアセスメントの要求事項については一般化され自由度が高まったので、実施や見直しがやりやすいように手順を見直すなどです。
<推奨>

4.テクノソフトのISO27001:2013移行支援

テクノソフトでは、ISO27001:2013への移行支援を実施いたします。下記の支援項目についてご希望内容をご確認いただき、お問合せください。
内容の詳細を決定し、支援費用を見積ります。また、支援費用とは別に訪問にかかる交通費等(実費)をいただく場合があります。

支援項目
支援内容
成果物/支援結果
A
ISO 27001:2013改訂内容の説明
半日程度の訪問で改訂内容について解説 改訂内容の理解
B
ISMSマニュアル、適用宣言書の改訂
文書改訂は訪問打合せで改訂後の内容を説明 ISMSマニュアル
適用宣言書
C
リスクアセスメント手順の見直しと実施結果のレビュー
訪問打合せで手順見直し検討し、実施後に内容確認 リスクアセスメント文書
リスクアセスメント実施記録
D
セキュリティ関連規定の見直し改訂
訪問打合せで規定見直し検討し、改訂後の内容を説明 セキュリティ関連規定
E
セキュリティ教育の支援
情報セキュリティ目的(目標)や規定に関する一般従業員向け教育資料の作成と教育実施のサポート セキュリティ一般教育資料
F
ISO 27001:2013対応
内部監査員養成セミナー
1日の訪問セミナーで実施し修了証を交付 ISO27001:2013対応内部監査員
G
審査前準備
教育訓練、内部監査、マネジメントレビュー実施記録の確認と移行審査に向けての準備事項を説明 審査前準備の完了
H
移行審査への対応
移行審査の指摘対応の検討と内容確認 移行登録証
無料見積もりはこちらまで