• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」規程解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」規程解釈

max16011508_TP_V

ご愛読者の皆様、いつもありがとうございます。
また、初めての方も、ありがとうございます。
ISO総合研究所コンサルタントの田牧です。

5月の連休を過ぎ、まだもう少し春を満喫したい!!そんなことを思っていましたが、地球の温暖化なのか、夏まっしぐらな日々か続き、体調は崩されていませんでしょうか。

私事ではありますが、先日、子どもの運動会に参加してきました。私の子供のころには、運動会と言えば「秋」の10月頃だったと記憶していますが、最近はこれくらいの時期に開催される学校も多いようですね。

元々は、夏の暑い時期に運動会の準備・練習・本番を迎えることでの参加者への負担を考慮したものだと聞いていますが、あまり変わらなくなってきました。今週末にももう一度運動会があり、熱中症対策をしなければと、頭を悩ましています。

と、近況報告はこれくらいに、今回のテーマは『ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」について』です。

まずは規格を確認

JIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)では

8.1 運用の計画及び管理

組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。また,組織は,6.2 項で決定した情報セキュリティ目的を達成するための計画を実施しなければならない。
組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。

組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。
組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。

また、ここに出てきた6.1項及び6.2項も確認しておきます。
と思いましたが、かなりの長文となるのでどういった項番だったかというと

6.1 リスク及び機会に対処する活動
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画策定

分かりづらいので少しずつ紐解いていきましょう

まずは最初の一文です。

「組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。」から見ていきましょう。

ここで求め求められているのは情報セキュリティ要求事項を満たすために、項番6.1(=リスク及び機会に対する活動)で決定したことを計画して、実施し、管理すること。つまり、項番6.1では情報セキュリティリスクを認識し洗い出し、セキュリティ活動=目的(目標)を『計画』しましたが、今回はその『計画』を『実行』することが求められています。よく言われるPDCAサイクルにおけるD=Doの部分が求められていることが読み取れます。

そして次に「組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。」
『実行』されることが計画的にまた確実に行われるように、わかりやすく、明確なかたち、ここでは「文書化」と表現されていますが、記録を残すことが求められています。

そして「組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。」
『実行』の内容については管理することで、その管理の中で変更があれば、見直し、修正、また必要な対応を求めています。

最後に「組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。」
外部委託するものがあれば、そのプロセスを明確に、そのことを管理することを求められています。(このことは付属書AのA.15供給者関係に関連する部分ですので、今回は細かく触れませんが・・・)

改めで、簡単にこのJIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)8.1 運用の計画及び管理についてまとめますと、6章にて目的(目標)の達成と課題解決のための計画(Plan)を実行(Do)することが求められ、その管理についての要求事項について記載があるということになります。

自分で記載していても、この辺りはわかりにくいと感じますね。(無理にそうしているのではありません。恐らく私の文才がただただないのだと思うのですが。

ということでISO27001:2013(ISMS)のご取得をご検討中で、本ブログを読まれ、少しでも「?」と思われるようなことがあれば、お気軽に弊社、ISO総合研究所までご連絡ください!!

カテゴリー:ISOコラム タグ:27001 ISO規格改訂 コンサルタント 規格改訂 規格解釈 運用


関連記事

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ