ISO27001

*ISO27001(2013年版)とは

*ISO/IEC 27000 新シリーズへの移行状況

[[ISO27001]]と ISO 27002 は、ISO/IEC 27000 シリーズと呼ばれる情報セキュリティ規格群の 1つです。
この ISO/IEC 27000 シリーズは改訂され、2014-2015年が新規格への移行時期です。2014年に移行した組織は少なく2015年に大多数の認証取得している組織が移行することになります。

ISO27000は、ISO/IEC 27000 シリーズの規格 の概要と、このシリーズ規格で使用される用語を定義した規格です。

よって、[[ISO27001]] の IS 版では、この ISO/IEC 27000 が引用規格、及び用語及び定義の参照規格として用いられています。ISO/IEC 27000 も、ISO/IEC 27001 の改訂に併せて、改訂されました。

*ISO/IEC 27001 改訂のポイント

ISO/IEC 27001 の改訂のポイントは2つです。

– マネジメントシステム規格の共通化の動きへの対応(上位 構造、共通のテキスト・用語及び定義の適用)

– リスクマネジメント規格 ISO  31000(2009 年発行)へ の対応

マネジメントシステム規格の共通化の動きの背景には、複数のマネジメントシステム規格(例えばISO27001とISO20000の2つのシステム)を運用している組織が増えていることがあげられます。

ISO/IEC  27001:2013は、ISO/IEC27001:2005を継承した規格です。
さらにISO/IEC27001:2013は、ISO MSS共通要素の適用、リスクマネジメント(ISO  31000:200(JIS Q 31000:2010))への対応を考慮した改定内容となっています。

ISO MSS共通要素は、組織が複数のマネジメントシステムを導入することを考慮して、マネジメントシステム間の整合性を図り、組織の負担を軽減することが共通化の目的です。
マネジメントシステムの一貫性と整合性を向上させた統一された上位構造と共通テキストから構成されています。そのために、どのようにするではなく、何をするかのマネジメントシステムの共通的な要求事項と、分野に固有な要求事項で構成されています。

*「ISO/IEC 専門業務指針」に基づいて発行された・ 改訂予定のマネジメントシステム規格の状況 [#fb64cebe]

すでに、この新しいルールに基づいてマネジメントシステム規格が作らる時代に入っており、ISO/IEC 27001 や、これから策定改訂されるマネジメントシステム規格もこれに基づいて策定される予定です。

規格      名称                     改訂状況
-ISO30301   記録マネジメントシステム           2011年11月発行
-ISO22301   事業継続マネジメントシステム         2012年5月発行
-ISO20121   サステナブル・イベントマネジメントシステム  2012年6月発行
-ISO39001   道路交通安全マネジメントシステム       2012年10月発行
-ISO27001   情報セキュリティマネジメントシステム     2013年10月改訂
-ISO55001   アセットマネジメントシステム         2014年1月発行
-ISO14001   環境マネジメントシステム           2015年改訂予定
-ISO9001    品質マネジメントシステム           2015年改訂予定

*ISO/IEC 27001:2013の構成 [#lef12654]

-0.序文
-1.適用範囲
-2. 引用規格
-3. 用語及び定義
-[[4. 組織の状況]]
-[[5. リーダーシップ]]
-[[6. 計画]]
-[[7. 支援]]
-[[8. 運用]]
-[[9. パフォーマンス評価]]
-[[10. 改善]]
-[[付属書A.管理目的及び管理策]]
–[[A.5 情報セキュリティのための方針群]]
–[[A.6 情報セキュリティのための組織]]
–[[A.7 人的資源のセキュリティ]]
–[[A.8 資産の管理]]
–[[A.9 アクセス制御]]
–[[A.10 暗号]]
–[[A.11 物理的及び環境的セキュリティ]]
–[[A.12 運用のセキュリティ]]
–[[A.13 通信のセキュリティ]]
–[[A.14 システムの取得、開発及び保守]]
–[[A.15 供給者関係]]
–[[A.16 情報セキュリティインシデント管理]]
–[[A.17 事業継続マネジメントにおける情報セキュリティの側面]]
–[[A.18 順守]]

*ISO/IEC 27001:2013の主な変更点

– 附属書 SL(上位構造、共通のテキスト・用語及び定義の適用) に基づいて、規格が策定
– 箇条 2 引用規格から、ISO27002 が削除され、ISO27000 が追加
– 箇条 3 用語及び定義から、16の用語の定義が削除 ⇒ ISO27000 を引用
– 専門用語の変更例
— ISMS 基本方針  ⇒  情報セキュリティ方針
— ISMS の目的  ⇒  情報セキュリティ目的
– 2005 年版の箇条 8.3 にあった「予防処置」という用語が削除
– リスクアセスメントの要求事項は、ISO31000 との整合性 により、より一般的な表現に変更
– 「リスク所有者」を特定し、「リスク所有者」が情報セキュリティリスク対応計画とセキュリティ残留リスクを承認する 要求事項が追加
– 管理策の数が、133 から 若干削減され、管理領域は増加

2013年版への移行支援コンサルティング、2013年版での新規認証取得支援のコンサルティングを行っております。

*御見積りは信頼と実績のタテックスまで[[お問合せ]]ください。

お問合せは、ここをクリック→[[お問合せ]]