ISO27001:2013発行。ISO27001(ISMS)規格改訂における移行計画と変更点について
2013年10月1日にISO/IEC27001:2013が発行されました。
今回は、マネジメントシステム規格(MSS)の整合化を図るため、MSSの上位構造(HLS:High Level Structure)および共通テキスト(Indential Core Text)、共通用語。定義が開発され、それらに基づいて改訂されています。
よって、2005年版の要求事項のほぼ半分以上がMSS共通テキストの中に包含された構成となっています。
ISO/IEC27001:2013への移行に関して
JIPDECの情報マネジメント推進センターによると、「既にISMS認証を取得されている組織は仕組みを大幅に変更することはないが、計画段階における経営的な観点での見直しが必要になる」とのことです。
以下に、JIPDECの情報マネジメント推進センターが2013年10月1日に発表した「ISO/IEC27001:2013へに移行計画について」を記します。
原則、移行期間は、規格発行を開始日として2年間となりますが、IAF(国際認定フォーラム)から移行に関する文書が発行されればそれに従うこととなっています。
ISO/IEC27001:2013への移行計画図について (JIPDEC)
ISO/IEC27001:2013改訂内容に関して
それでは、ISO/IEC27001:2013は、どのような改訂がなされたのでしょうか?
今回の改訂のポイントとしては、以下の2つがあります。
1) マネジメントシステム規格での共通要求事項の適用
2) リスクマネジメント規格(ISO 31000)への対応
1) マネジメントシステム規格での共通要求事項の適用
ISO9001やISO14001のように、複数のマネジメントシステムを導入する組織が増えました。
これにより、マネジメントシステム間の整合性向上(共通化)を図り、組織の負担を軽減しようと考えられました。
ISOでは、先述したようにマネジメントシステム規格(MSS)の整合化を図るため、上位構造(HLS)、共通テキスト及び共通用語・定義が開発されました。
今後、ISO/IEC27001と同様に、全てのISOマネジメントシステム規格は、これに従って開発されることになります。
(参考)
「ISO/IEC専門業務用指針、第1部 統合版ISO捕捉指針-ISO専用手順」のAnnex SL-Appendix3に掲載の「上位構造、共通の中核となるテキスト、共通用語及び中核とんる定義」
(JSAのWEBページで無料で入手可能)
ちなみに、HLSとは、次のような規格の章立てのことを示しており、すべてのMSSで共通のものとなります。
(※各MS規格によって、規格項目より下位の細分項目の順番は変更することができる)
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織の状況
5. リーダーシップ
6. 計画
7. 支援
8. 運用
9. パフォーマンス評価
10. 改善
2) リスクマネジメント規格(ISO 31000)への対応
マネジメントシステム規格によっては、ISO27001と異なりリスクマネジメントの記述がないものもあります。
なので、マネジメントシステムの共通テキストには、リスクマネジメントに関する記述がありません。
そこで、2009年に発行され、リスクマネジメントのガイドラインとして認知されている「ISO31000 Risk management — Principles and guidelines リスクマネジメント―原則及び指針」をもとに、ISO31000と親和性のある情報セキュリティリスクマネジメントに関する記述が、ISMS固有テキストとして追加されています。(箇条6.1.2, 8.2)
ISO/IEC 27001の構成
- 0. 序文
- 1. 適用範囲
- 2. 引用規格
- 3. 用語及び定義
PLAN
- 4. 組織の状況
- 4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム - 5. リーダーシップ
- 5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限 - 6. 計画
- 6.1 リスク及び機会に対処する活動
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画 - 7. 支援
- 7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化された情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化した情報の管理
DO
- 8. 運用
- 8.1 運用計画及び管理
8.2 情報セキュリティリスクアセスメント
8.3 情報セキュリティリスク対応
CHECK
- 9. パフォーマンス評価
- 9.1 監視、測定、分析、及び評価
9.2 内部監査
9.3 マネジメントレビュー
ACT
- 10. 改善
- 10.1 不適合及び是正処置
10.2 継続的改善
- 附属書A
- A.5 情報セキュリティのための方針群
A.5.1 情報セキュリティのための経営陣の方向性
A.6 情報セキュリティのための組織
A.6.1 内部組織
A.6.2 モバイル機器及びテレワーキング
A.7 人的資源のセキュリティ
A.7.1 雇用前
A.7.2 雇用期間中
A.7.3 雇用の終了及び変更
A.8 資産の管理
A.8.1 資産に対する責任
A.8.2 情報分類
A.8.3 媒体の取扱い
A.9 アクセス制御
A.9.1 アクセス制御に対する業務上の要求事項
A.9.2 利用者アクセスの管理
A.9.3 利用者の責任
A.9.4 システム及びアプリケーションのアクセス制御
A.10 暗号
A.10.1 暗号による管理策
A.11 物理的及び環境的セキュリティ
A.11.1 セキュリティを保つべき領域
A.11.2 装置
A.12 運用のセキュリティ
A.12.1 運用の手順及び責任
A.12.2 マルウェアからの保護
A.12.3 バックアップ
A.12.4 ログ取得及び監視
A.12.5 運用ソフトウェアの管理
A.12.6 技術的ぜい弱性管理
A.12.7 情報システムの監査に対する考慮事項
A.13 通信のセキュリティ
A.13.1 ネットワークセキュリティ管理
A.13.2 情報の転送
A.14 システムの取得、開発及び保守
A14.1 情報システムのセキュリティ要求事項
A14.2 開発及びサポートプロセスにおけるセキュリティ
A.14.3 試験データ
A.15 供給者関係
A.15.1 供給者関係における情報セキュリティ
A.15.2 供給者のサービス提供の管理
A.16 情報セキュリティインシデントの管理
A.16.1 情報セキュリティインシデントの管理及びその改善
A.17 事業継続マネジメントにおける情報セキュリティの側面
A.17.1 情報セキュリティ継続
A.17.2 冗長性
A.18 順守
A.18.1 法的及び契約上の要求事項の順守
A.18.2 情報セキュリティのレビュー
主な変更点
- 「2. 引用規格」から、ISO27002が削除され、ISO27000が追加
- 「3. 用語及び定義」から、16の用語の定義が削除され、「ISO27000」を引用
- 専門用語が一部変更(例:ISMS基本方針→情報セキュリティ方針)
- 「5.1 経営陣のコミットメント」の要求事項が改訂され、「5. リーダーシップ」へ変更
- 「8.3 予防処置」がなくなり、「4.1 外部及び内部の課題を決定」「6.1 リスク及び機会を決定」「6.1 望ましくない影響を防止、または低減」に分散
- リスクアセスメントの要求事項は、ISO31000との整合性により、より一般的な表現に変更
- 「リスクオーナー」を特定し、情報セキュリティリスク対応計画とセキュリティ残留リスクを承認する
- 附属書Aの管理目的がA.5からA.18に(2005年ではA.5からA.15)、管理策が114(2005年では133)に変更
- ISO/IEC 27002が管理策が主題であることを表題で明示された。
2005年版では、「Information … Code of practice for information security management」(情報セキュリティマネジメントの実践のための規範)だったが、今回、「Information … Code of practice for information security controls」(情報セキュリティ管理策の自薦のための規範)へ
