ISO/IEC 27001:2013移行支援

1.ISO27001:2013の発行と移行期間

2013年10月1日に、ISO/IEC 27001:2005 情報セキュティマネジメントシステム-要求事項 の改正版にあたるISO/IEC 27001:2013が発行されました。

一般財団法人日本情報経済社会推進協会(JIPDEC)の発表では、2015年10月1日までにISO27001:2013への移行を完了する必要があります。

 

2.ISO27001:2013の概要

ISO27001:2013は、ISOマネジメントシステムの規格構成の共通化ルール(MSS共通要求事項又はHLSと呼ばれる)を採用して開発され、箇条4~10で構成されています。(※太字赤字箇所が、ISO27001独自の要求事項

ISO/IEC 27001:2013 の構成
0. 序文
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
5. リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限
6. 計画
6.1 リスク及び機会への取り組み
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画
7. 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化された情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化した情報の管理
8. 運用
8.1 運用の計画及び管理
8.2 情報セキュリティリスクアセスメント
8.3 情報セキュリティリスク対応
9. パフォーマンス評価
9.1 監視、測定、分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10. 改善
10.1 不適合及び是正処置
10.2 継続的改善
附属書A(規定)管理目的及び管理策

 

ISO27001:2013は、2005年版のISO27001の基本的な取り組みを変更するものではなく、他のISOマネジメントシステムの規格構成の共通化に伴い、全体的に強化・明確化されているのが特徴で、主な改正点は、以下の通りです。

3.ISO27001:2013移行への対応準備

ISO 27001:2013で、現行の情報セキュリティマネジメントシステム(ISMS)の基本的な取り組みが大きく変更されることはありませんが、移行に際して以下のような対応が必要となります。

<必須>
1.
ISMSマニュアルと適用宣言書をISO 27001:2013に合わせて全面的に改訂する。
2.
ISO 27001:2013に適合したISMSを運用して、情報セキュリティ目的(目標)の管理、教育訓練、内部監査、マネジメントレビューを実施する。

<推奨>

3.

現行のセキュリティ対策と附属書Aを比較し、情報セキュリティ関連規定を改訂する。
4.
ISO 27001:2013に合わせてISMSを変更するだけではなく、運用上のムリやムダのないマネジメントシステムにリフォームする。たとえば、リスクアセスメントの要求事項については一般化され自由度が高まったので、実施や見直しがやりやすいように手順を見直すなどです。

 

4.テクノソフトのISO27001:2013移行支援

テクノソフトでは、ISO27001:2013への移行支援を実施いたします。下記の支援項目についてご希望内容をご確認いただき、お問合せください。
内容の詳細を決定し、支援費用を見積ります。また、支援費用とは別に訪問にかかる交通費等(実費)をいただく場合があります。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る