ISO27001 情報セキュリティ コラム

ISO/IEC DIS 27001(情報セキュリティマネジメントシステム-要求事項)の概要

ISO27001:2013への移行は「ISO/IEC 27001:2013移行支援」をご覧ください。

 

1.改正版ISO 27001の発行時期

2013年1月に、ISO 27001:2005 情報セキュティマネジメントシステム-要求事項 の改正版にあたるDIS 27001(国際規格原案/Draft International Standard)が発行されました。

DIS 27001は、各国のISO加盟機関で構成される委員会での審議・投票を経て、FDIS 27001(最終国際規格案/Final Draft International Standards)として発行された後、遅くとも2013年末には、改正版ISO 27001が発行される予定です。

過去のISO規格改正時の対応と同じであれば、発行後2年以内に改正新規格に移行する必要があります。
なお、移行審査を受けるにあたっては、改正版ISO 27001の要求内容にISMS(情報セキュリティマネジメントシステム)を改定して、運用していることが必要です。

 

 

2.ISO/IEC DIS 27001の構成

改正版ISO 27001は、“ISO/IEC専門業務用指針 補足指針”に定めるMSS共通要求事項(HLSとも呼ばれる)を採用して開発されており、箇条4~10からなるPDCA(Plan:箇条4~7 Do:箇条8 Check:箇条9 Act:箇条10)で構成されています。
ISO27001固有の要求事項は“太字赤字箇所”で示した箇所になります。

また、ISO 9001(品質)ISO 14001(環境)も、同様の箇条10からなる構成で改正作業中であり、各ISOマネジメントシステムの規格構成の共通化が進んでいます。

ISO/IEC DIS 27001の構成
0. 序文
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
5. リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限
6. 計画
6.1 リスク及び機会への取り組み
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画策定
7. 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化された情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化された情報の管理
8. 運用
8.1 運用の計画及び管理
8.2 情報セキュリティリスクアセスメント
8.3 情報セキュリティリスク対応
9. パフォーマンス評価
9.1 監視、測定、分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10. 改善
10.1 不適合及び是正処置
10.2 継続的改善
附属書A(規定)管理目的及び管理策

3.DIS 27001の主な改正点

DIS 27001の主な改正内容は、現行のISO27001の基本的な取組みを変更するものではなく、他のISOマネジメントシステムの規格構成の共通化に伴い、全体的に強化・明確化されているのが特徴です。

4.推奨される改正対応

1. ISMSマニュアルと適用宣言書を改正版ISO 27001に合わせて全面的に改定する。
2. 現行のセキュリティ対策と附属書Aの管理策を比較し、情報セキュリティ関連規定を改定する。
3. 改正版ISO 27001に適合したISMSを運用して、教育訓練、内部監査、マネジメントレビューを実施し、移行審査に備える。
4. 単に、改正版ISO 27001に合わせてISMSを変更するだけではなく、運用上のムリやムダを調査し、業務と一体化したマネジメントシステムにリフォームする。
5. ISO 9001(品質)ISO 14001(環境)等、他のマネジメントシステムとの一元化も視野に入れた見直しを実施する。

5.無料資料

無料資料より、附属書Aの“対比表”付き「ISO/IEC DIS 27001の概要(PDF)」がダウンロードできます。