ISO/IEC FDIS 27001:2013の概要と移行対応

ISO27001:2013への移行は「ISO/IEC 27001:2013移行支援」をご覧ください。

１．ISO 27001の改正

2013年7月3日に、ISO27001:2005 情報セキュティマネジメントシステム－要求事項の改正版にあたるFDIS27001（最終国際規格案／Final Draft International Standard）が発行されました。

FDIS27001は、各国のISO加盟機関で構成される委員会での審議・投票を経て、2013年10月に、改正版ISO27001:2013が発行される予定です。

また、一般財団法人日本情報経済社会推進協会（JIPDEC）の発表では、ISO27001:2013発行後2年以内に改正版ISO27001:2013への移行審査を完了する必要があります。

改正版ISO 27001は、ISOマネジメントシステムの規格構成の共通化ルール（MSS共通要求事項又はHLSと呼ばれる）を採用して開発され、箇条4～10で構成されています。

ISO/IEC FDIS 27001の構成

0.　序文
1.　適用範囲
2.　引用規格
3.　用語及び定義
4.　組織の状況
	4.1　組織及びその状況の理解
	4.2　利害関係者のニーズ及び期待の理解
	4.3　情報セキュリティマネジメントシステムの適用範囲の決定
	4.4　情報セキュリティマネジメントシステム
5.　リーダーシップ
	5.1　リーダーシップ及びコミットメント
	5.2　方針
	5.3　組織の役割、責任及び権限
6.　計画
	6.1　リスク及び機会への取り組み
		6.1.1　一般
		6.1.2　情報セキュリティリスクアセスメント
		6.1.3　情報セキュリティリスク対応
	6.2　情報セキュリティ目的及びそれを達成するための計画
7.　支援
	7.1　資源
	7.2　力量
	7.3　認識
	7.4　コミュニケーション
	7.5　文書化された情報
		7.5.1　一般
		7.5.2　作成及び更新
		7.5.3　文書化した情報の管理
8.　運用
	8.1　運用の計画及び管理
	8.2　情報セキュリティリスクアセスメント
	8.3　情報セキュリティリスク対応
9.　パフォーマンス評価
	9.1　監視、測定、分析及び評価
	9.2　内部監査
	9.3　マネジメントレビュー
10.　改善
	10.1　不適合及び是正処置
	10.2　継続的改善
附属書A（規定）管理目的及び管理策

改正版ISO27001は、現行のISO27001の基本的な取り組みを変更するものではなく、他のISOマネジメントシステムの規格構成の共通化に伴い、全体的に強化・明確化されているのが特徴で、主な改正点は、以下の通りです。

※クリックすると拡大できます

改正版ISO 27001:2013で、現行の情報セキュリティマネジメントシステム（ISMS）の基本的な取り組みが大きく変更されることはありませんが、移行に際して以下のような対応が必要となります。

＜必須＞	1.	ISMSマニュアルと適用宣言書を改正版ISO 27001:2013に合わせて全面的に改訂する。
＜必須＞	2.	改正版ISO 27001:2013に適合したISMSを運用して、情報セキュリティ目的（目標）の管理、教育訓練、内部監査、マネジメントレビューを実施する。
＜推奨＞	3.	現行のセキュリティ対策と附属書Aを比較し、情報セキュリティ関連規定を改訂する。
＜推奨＞	4.	改正版ISO 27001:2013に合わせてISMSを変更するだけではなく、運用上のムリやムダのないマネジメントシステムにリフォームする。たとえば、リスクアセスメントの要求事項については一般化され自由度が高まったので、実施や見直しがやりやすいように手順を見直すなどです。

テクノソフトでは、改正版ISO 27001:2013への移行支援を実施いたします。下記の支援項目についてご希望内容をご確認いただき、お問合せください。
内容の詳細を決定し、支援費用を見積ります。また、支援費用とは別に訪問にかかる交通費等（実費）をいただく場合があります。

※クリックすると拡大できます