• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001(ISMS):2015年度規格改訂4.4項「情報セキュリティマネジメントシステム」規格解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001(ISMS):2015年度規格改訂4.4項「情報セキュリティマネジメントシステム」規格解釈

_shared_img_thumb_PAK86_kisyanoshitumonnikotaeru20140713_TP_V

いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの戸沼と申します。

今回のブログでは、ISO27001(ISNMS):2015年度規格改訂4.4項「情報セキュリティマネジメントシステム」の規格解釈について書かせていただきます。

内容としては、大きく下記の3つの項目をご説明させていただきます。

1.ISO27001(ISNMS):2006年版と、ISO27001(ISNMS):2013年版の対比
2.ISO27001(ISNMS):2013年版で明確にされたこと
3.ISO27001(ISNMS):2006年版から、ISO27001(ISNMS):2013年版に移行するにあたって確認すべきこと< 1.ISO27001(ISNMS):2006年版と、ISO27001(ISNMS):2013年版の対比

まずは、ISO27001(ISNMS):2006年版と、ISO27001(ISNMS):2013年版の対比からみていきましょう。
ISO27001(ISNMS):2006年版における構成は下記の通りです。

4 情報セキュリティマネジメントシステム
4.1 一般要求事項

ISO27001(ISNMS):2013年版における構成は下記の通りです。

4.4 情報セキュリティマネジメントシステム

上記のように、章の構成は変わっていますが、大きな要素としては変わっていないことが分かります。

2.ISO27001(ISNMS):2013年版で明確にされたこと

次に、ISO27001(ISNMS):2013年版で明確にされたことをみていきましょう。
ISO27001(ISNMS):2006年版における4.1項「一般要求事項」の記述は下記の通りです。

「組織は、その組織の事業活動全般及び直面するリスクに対する考慮のもとで、文書化したISMS を確立、導入、運用、監視、レビュー、維持及び改善しなければならない。」

ISO27001(ISNMS):2013年版における4.4項「情報セキュリティマネジメントシステム」の記述は下記の通りです。

「組織は、この規格の要求事項に従って、ISMS を確立し、実施し、維持し、かつ、継続的に改善しなければならない。」

一見して分かることは、2006年版では「その組織の事業活動全般及び直面するリスクに対する考慮のもとで」という表記がありましたが、2013年版では、これら考慮すべき事項が4.1項から4.3項にてより明確化されました。

お客様訪問時に、障壁に感じていらっしゃるとよく伺うのは、この4.1項から4.3項をどう明確化するか、その方法を模索していらっしゃるところですね。組織によっては、SWOT分析をおこない、その結果報告をなさっているところもありますし、組織ごとの指標をもとに、定期的に報告をしている組織もあります。この点に関しては、経営層がどのような指標をもとに経営的なご判断をなされているのかを洗い出してみるのがよさそうです。

3.ISO27001(ISNMS):2006年版から、ISO27001(ISNMS):2013年版に移行するにあたって確認すべきこと

最後に、ISO27001(ISNMS):2006年版から、ISO27001(ISNMS):2013年版に移行するにあたって確認すべきことを考えていきます。

私たちコンサルタントは、様々な業種・業態の組織様のお手伝いをさせていただく中で、役得と言いますか、様々な形・内容の「マネジメントレビュー」を拝見させていただいております。

その中で感じることは、情報セキュリティマネジメントシステムに関連する外部及び内部の課題の変化 や、組織及びその状況の理解、利害関係者のニーズ及び期待の理解というのは、「マネジメントレビュー」において、明確になっていることか多かったように思われます。

それから、これまでは、いわゆる「マネジメントレビュー」にて報告や指示がなされていた以外にも、日常のコミュニケーション(例えば、経営会議、幹部会議、営業会議、等)にて、該当する項目の報告および指示がなされていないかを探してみてください。おそらくは、「マネジメントレビュー」という形を取らずしても、要求事項を満たすような定期的なイベントが実施されているのではないでしょうか。

忘れてはいけないのは、マネジメントレビューを実施した結果の、文書化された情報が保持されているかです。

上記のような点にフォーカスをあてて、貴社の情報セキュリティマネジメントシステムが整っているか、見てみてはいかがでしょうか。

カテゴリー:ISOコラム タグ:27001 ISO コンサルタント 要求事項 規格改訂 規格解釈

ISO総研

関連記事

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ