*

ISO27001・情報セキュリティマネジメントシステム認証取得支援コンサルティング

タテックス有限会社
HOME
サービス
Q&A
会社概要
お問合わせ
ISO14001
ISO27001
ISMS-P
ISO27001:2013
ISO20000
ISO22000
統合MS
ISO運用代行
自己適合宣言
OHSAS18001
プライバシーマーク
経営品質
サービスのフロー
内部監査員研修
Q&A
会社概要
指導実績
事例
お客様の声
企業再生
採用情報
お問合わせ
関連リンク
相互リンク
リンクモスト
簡単相互link
サイトマップ

ISO/IEC 27001:2013 とは


ISO/IEC 27001:2013への移行

ISO/IEC 27001 と ISO/IEC 27002 は、ISO/IEC 27000 シリーズと呼ばれる情報セキュリティ規格群の 1つです。
この ISO/IEC 27000 シリーズは改訂され、2014-2015年が新規格への移行時期でした。2014年に移行した組織は少なく、2015年に大多数の認証取得している組織が移行したようです。
ISO/IEC 27000 は、ISO/IEC 27000 シリーズの規格 の概要と、このシリーズ規格で使用される用語を定義した規格です。
よって、ISO/IEC 27001 の IS 版(国際規格版)では、この ISO/IEC 27000 が引用規格、及び用語及び定義の参照規格として用いられています。
ISO/IEC 27000 も、ISO/IEC 27001 の改訂に併せて、改訂されました。

ISO/IEC 27001 改訂のポイント

ISO/IEC 27001 の改訂のポイントは2つです。
- マネジメントシステム規格の共通化の動きへの対応(上位 構造、共通のテキスト・用語及び定義の適用)
- リスクマネジメント規格 ISO 31000(2009 年発行)へ の対応

マネジメントシステム規格の共通化の動きの背景には、複数のマネジメントシステム規格(例えばISO27001とISO20000の2つのシステム)を運用している組織が増えていることがあげられます。
ISO/IEC 27001:2013は、ISO/IEC27001:2005を継承した規格です。
さらにISO/IEC27001:2013は、ISO MSS共通要素の適用、リスクマネジメント(ISO 31000:200(JIS Q 31000:2010))への対応を考慮した改定内容となっています。
ISO MSS共通要素は、組織が複数のマネジメントシステムを導入することを考慮して、マネジメントシステム間の整合性を図り、組織の負担を軽減することが共通化の目的です。
マネジメントシステムの一貫性と整合性を向上させた統一された上位構造と共通テキストから構成されています。
そのために、どのようにするではなく、何をするかのマネジメントシステムの共通的な要求事項と、分野に固有な要求事項で構成されています。


「ISO/IEC 専門業務指針」に基づいて発行された・ 改訂予定のマネジメントシステム規格の状況

すでに、この新しいルールに基づいてマネジメントシステム規格が作らる時代に入っており、ISO/IEC 27001 や、これから策定改訂されるマネジメントシステム規格もこれに基づいて策定される予定です。
 規格      名称                     改訂状況
-ISO30301   記録マネジメントシステム           2011年11月発行
-ISO22301   事業継続マネジメントシステム         2012年5月発行
-ISO20121   サステナブル・イベントマネジメントシステム  2012年6月発行
-ISO39001   道路交通安全マネジメントシステム       2012年10月発行
-ISO27001   情報セキュリティマネジメントシステム     2013年10月改訂
-ISO55001   アセットマネジメントシステム         2014年1月発行
-ISO14001   環境マネジメントシステム           2015年改訂予定
-ISO9001    品質マネジメントシステム           2015年改訂予定


ISO/IEC 27001:2013の構成

  • 0.序文
  • 1.適用範囲
  • 2. 引用規格
  • 3. 用語及び定義
  • 4. 組織の状況
  • 5. リーダーシップ<
  • 6. 計画
  • 7. 支援
  • 8. 運用
  • 9. パフォーマンス評価
  • 10. 改善
  • 付属書A.管理目的及び管理策
  • A.5 情報セキュリティのための方針群
  • A.6 情報セキュリティのための組織
  • A.7 人的資源のセキュリティ
  • A.8 資産の管理
  • A.9 アクセス制御
  • A.10 暗号
  • A.11 物理的及び環境的セキュリティ
  • A.12 運用のセキュリティ
  • A.13 通信のセキュリティ
  • A.14 システムの取得、開発及び保守
  • A.15 供給者関係<
  • A.16 情報セキュリティインシデント管理
  • A.17 事業継続マネジメントにおける情報セキュリティの側面
  • A.18 順守<


ISO/IEC 27001:2013の主な変更点

  • - 附属書 SL(上位構造、共通のテキスト・用語及び定義の適用) に基づいて、規格が策定
  • - 箇条 2 引用規格から、ISO27002 が削除され、ISO27000 が追加
  • - 箇条 3 用語及び定義から、16の用語の定義が削除 ⇒ ISO27000 を引用
  • - 専門用語の変更例
  • -- ISMS 基本方針 ⇒ 情報セキュリティ方針
  • -- ISMS の目的 ⇒ 情報セキュリティ目的<
  • - 2005 年版の箇条 8.3 にあった「予防処置」という用語が削除
  • - リスクアセスメントの要求事項は、ISO31000 との整合性 により、より一般的な表現に変更
  • - 「リスク所有者」を特定し、「リスク所有者」が情報セキュリティリスク対応計画とセキュリティ残留リスクを承認する 要求事項が追加
  • - 管理策の数が、133 から 若干削減され、管理領域は増加


ISMS付属書Aの詳細管理策とは

詳細管理策 は以下のようにA.5からA.15まで11の領域/分類(管理目的:39個、管理策:133個)がある。適用宣言書でこれらの詳細管理策を採用するか否かを明確に記述する。



これが2013年版では、管理策の数が、2005 年の 133 から 114 になりました。(下記)


ニーズで選べる支援内容

2013年版への移行支援コンサルティング、2013年版での新規認証取得支援のコンサルティングを行っております。
実績豊富なISOコンサルタント陣がISO取得に必要な工数をお客様のニーズで選べます。お問合わせください。
また、既にシステム運用をしていて、改善したいのだが。。。といった改善のご相談もお気軽にお問合わせください。


ISO27001特別レポートを無料公開!

実績豊富なISOコンサルタント陣がISO9001、ISO14001、Pマーク取得ノウハウをご提供。ISO担当者だけでなく経営者も必見の情報です。まずは最新の無料レポートをご覧下さい。
ISO27001,ISO14001,ISO9001,Pマーク取得に関するお悩み・ご相談を無料メール相談でお受けします。専門家のアドバイスを受けたい方、まずはこの無料サービスをご利用下さい。


Copyright © 2005-2017 TATECS , All Rights Reserved.